GNU/Linux >> Tutoriales Linux >  >> Linux

Generar una solicitud de firma de certificado

Antes de poder instalar un certificado de capa de sockets seguros (SSL), primero debe generar una solicitud de firma de certificado (CSR). Puede hacerlo utilizando uno de los siguientes métodos:

  • (servidor Linux®) OpenSSL
  • Administrador de Internet Information Services (IIS) (servidor de Microsoft® Windows®)
  • (Clientes de la nube) Panel de control de la nube
  • (Clientes administrados) Portal MyRackspace

OpenSSL

Las siguientes secciones describen cómo usar OpenSSL para generar una CSR para un solo nombre de host. Si desea generar una CSR para varios nombres de host, le recomendamos que utilice el Panel de control en la nube o el Portal MyRackspace.

Instalar OpenSSL

Verifique si OpenSSL está instalado usando el siguiente comando:

  • CentOS® y Red Hat® Enterprise Linux®

    rpm -qa | grep -i openssl

    El siguiente resultado proporciona un ejemplo de lo que devuelve el comando:

    openssl-1.0.1e-48.el6_8.1.x86_64
openssl-devel-1.0.1e-48.el6_8.1.x86_64
openssl-1.0.1e-48.el6_8.1.i686

  • Debian® y el sistema operativo Ubuntu®

    dpkg -l | grep openssl

    El siguiente resultado proporciona un ejemplo de lo que devuelve el comando:

    ii  libgnutls-openssl27:amd64           2.12.23-12ubuntu2.4              amd64        GNU TLS library - OpenSSL wrapper
ii  openssl                             1.0.1f-1ubuntu2.16               amd64        Secure Sockets Layer toolkit - cryptographic utility

Si no se devuelven los paquetes anteriores, instale OpenSSL ejecutando el siguiente comando:

  • CentOS y Red Hat

    yum install openssl openssl-devel

  • Debian y el sistema operativo Ubuntu

    apt-get install openssl

Generar la clave RSA

Ejecute los siguientes comandos para crear un directorio en el que almacenar su clave RSA, sustituyendo el nombre de directorio de su elección:

mkdir ~/domain.com.ssl/
cd ~/domain.com.ssl/

Ejecute el siguiente comando para generar una clave privada:

openssl genrsa -out ~/domain.com.ssl/domain.com.key 2048

Crear un CSR

Ejecute el siguiente comando para crear una CSR con la clave privada RSA (la salida está en formato de correo con privacidad mejorada (PEM)):

openssl req -new -sha256 -key ~/domain.com.ssl/domain.com.key -out ~/domain.com.ssl/domain.com.csr

Cuando se le solicite, ingrese la información necesaria para crear una CSR usando las convenciones que se muestran en la siguiente tabla.

Nota: No puede usar los siguientes caracteres en el Nombre de la organización o Unidad organizativa campos:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

Campo Explicación Ejemplo
Nombre común El nombre de dominio completo al que se aplica el certificado. Los nombres de dominio example.com y www.ejemplo.com son distintos entre sí, así que asegúrese de enviar su solicitud para el dominio correcto. Si está comprando un certificado comodín, use *.example.com . ejemplo.com
Nombre de la organización El nombre legal exacto de su organización. La Autoridad de Certificación (CA) podría intentar confirmar que su organización es real y está legalmente registrada, así que no abrevie palabras que no estén abreviadas en el nombre legal de la organización. Ejemplo Inc.
Unidad organizativa La rama de su organización que realiza la solicitud. Mercadotecnia
Ciudad/localidad La ciudad donde se encuentra legalmente su organización. No abrevie el nombre de la ciudad. San Antonio
Estado/provincia El estado o provincia donde se encuentra legalmente su organización. No abrevie el nombre del estado o provincia. Texas
País/región La abreviatura de dos letras de la Organización Internacional de Normalización (ISO) de su país. EE. UU.

Advertencia: Deje la contraseña de desafío en blanco (presione Enter ).

Verificar su CSR

Ejecute el siguiente comando para verificar su CSR:

openssl req -noout -text -in ~/domain.com.ssl/domain.com.csr

Una vez que haya verificado su CSR, puede enviarlo a una CA para comprar un certificado SSL.

Administrador de Windows IIS

Utilice los siguientes pasos para generar una CSR mediante el Administrador de IIS de Windows:

Nota: Los siguientes pasos son para IIS 8 o IIS 8.5 en Windows Server 2012.

  1. Abra el Administrador de IIS.

  2. En el lado izquierdo Conexiones panel, haga clic en el servidor para el que desea generar una CSR.

  3. En el servidor central Inicio panel debajo del IIS sección, haga doble clic en Certificados de servidor .

  4. En el lado derecho Acciones panel, haga clic en Crear solicitud de certificado .

  5. En la Solicitud de Certificado asistente, en Propiedades de nombre distinguido página, ingrese la siguiente información y luego haga clic en Siguiente .

    Campo Explicación Ejemplo
    Nombre común El nombre de dominio completo al que se aplica el certificado. Los nombres de dominio example.com y www.ejemplo.com son distintos entre sí, así que asegúrese de enviar su solicitud para el dominio correcto. Si está comprando un certificado comodín, use *.example.com . ejemplo.com
    Nombre de la organización El nombre legal exacto de su organización. La CA podría tratar de confirmar que su organización es real y está registrada legalmente, así que no abrevie palabras que no estén abreviadas en el nombre legal de la organización. Ejemplo Inc.
    Unidad organizativa La rama de su organización que realiza la solicitud. Mercadotecnia
    Ciudad/localidad La ciudad donde se encuentra legalmente su organización. No abrevie el nombre de la ciudad. San Antonio
    Estado/provincia El estado o provincia donde se encuentra legalmente su organización. No abrevie el nombre del estado o provincia. Texas
    País/región La abreviatura ISO de dos letras de su país. EE. UU.

  6. En las Propiedades del proveedor del servidor criptográfico página, ingrese la siguiente información y luego haga clic en Siguiente .

    • Proveedor de servicios criptográficos :a menos que tenga un proveedor criptográfico específico, utilice la selección predeterminada.
    • Longitud en bits :2048 es la longitud de bits recomendada.

  7. En el Nombre de archivo página, ingrese la ubicación donde desea guardar el archivo de solicitud de certificado y luego haga clic en Finalizar .

Una vez que haya generado la CSR, puede enviarla a una CA para comprar un certificado SSL.

Panel de control en la nube

Rackspace proporciona el Generador de CSR para generar un CSR. El Generador de CSR le muestra los CSR que tiene actualmente y le permite crear nuevos CSR con un formulario simple. Una vez que haya ingresado sus datos, el generador los combina con su clave privada para que pueda enviar la información codificada combinada a una CA.

Cuando haya terminado con el generador, puede volver al Panel de control de la nube haciendo clic en cualquiera de los enlaces en la navegación superior o yendo a login.rackspace.com y seleccionando Rackspace Cloud del menú desplegable de productos en la barra de navegación superior.

Acceda al Generador de CSR

Acceda al Generador de CSR directamente o a través del Panel de control siguiendo los siguientes pasos:

  1. Inicie sesión en el Panel de control de la nube y seleccione Rackspace Cloud del menú desplegable de productos en la barra de navegación superior.
  2. En la barra de navegación superior, haga clic en Servidores> Servidores en la nube .
  3. Haga clic en el nombre del servidor para el que desea generar una CSR.
  4. En el lado derecho Administrar su servidor sección debajo de Ayúdame con , haga clic en Generar una CSR .

El generador enumera sus CSR existentes, si tiene alguno, organizados por nombre de dominio.

Generar un CSR

  1. Haga clic en Crear CSR .

  2. Ingrese la siguiente información, que se asociará con el CSR:

    Campo Explicación Ejemplo
    Nombre de dominio El nombre de dominio completo al que se aplica el certificado. Los nombres de dominio example.com y www.ejemplo.com son distintos entre sí, así que asegúrese de enviar su solicitud para el dominio correcto. Si desea proteger ambos dominios, puede usar los Nombres alternativos campo. Si está comprando un certificado comodín, use *.example.com . ejemplo.com
    Nombres alternativos (Opcional) Dominios adicionales que desea agregar a la solicitud. Cada CA los trata de manera diferente, y la CA puede cobrar por nombres adicionales. Puede enviar una lista separada por comas. www.ejemplo.com, seguro.ejemplo.com
    Dirección de correo electrónico (Opcional) Una dirección de correo electrónico de contacto para el certificado. [email protected]
    Nombre de la organización El nombre legal exacto de su organización. La CA podría tratar de confirmar que su organización es real y está registrada legalmente, así que no abrevie palabras que no estén abreviadas en el nombre legal de la organización. Ejemplo Inc.
    Unidad organizativa (Opcional) La sucursal de su organización que realiza la solicitud. Mercadotecnia
    Ciudad La ciudad donde se encuentra legalmente su organización. No abrevie el nombre de la ciudad. San Antonio
    Estado o Provincia El estado o provincia donde se encuentra legalmente su organización. No abrevie el nombre del estado o provincia. Texas
    País Elija su país en el menú desplegable. La abreviatura ISO de dos letras de su país se incluye en el CSR. Estados Unidos
    Longitud de bit de clave privada Los tamaños de clave inferiores a 2048 se consideran inseguros y es posible que una CA no los acepte. 1024,2048,4096
    Algoritmo hash Ambos algoritmos son actualmente confiables en los principales navegadores y ofrecen la seguridad recomendada por la industria. SHA-512 requiere procesamiento de CPU adicional. SHA-256, SHA-512

    Nota: No puede usar los siguientes caracteres en el Nombre de la organización o Unidad organizativa campos:< > ~ ! @ # $ % ^ * / \ ( ) ? . , &

  3. Una vez que haya ingresado toda la información requerida, haga clic en Crear CSR .

La generación del CSR puede demorar entre 5 y 60 segundos. Es posible que deba actualizar la página que muestra sus CSR antes de que aparezca la nueva CSR.

Ver detalles de CSR

Cuando se ha generado CSR, puede hacer clic en su UUID (identificador único) en la lista de CSR para ver su pantalla de detalles.

Esta pantalla muestra la información que proporcionó, el texto de la CSR y su clave privada asociada.

Envíe el CSR a la CA

El texto en la Solicitud de Certificado campo es la RSE. Contiene detalles codificados de la CSR y su clave pública.

Para solicitar su certificado SSL, copie la Solicitud de certificado texto y envíelo a su CA. Incluya todo el texto, incluido el BEGIN y FIN líneas al principio y al final del bloque de texto.

Instalar la clave privada

Copie la clave privada en el servidor que alojará el certificado. Consulte la documentación de su aplicación para determinar dónde instalar la clave privada y el certificado en su servidor.

Portal MyRackspace

Si es un cliente Administrado o Dedicado, puede solicitar un CSR a través del Portal MyRackspace siguiendo los siguientes pasos:

  1. Inicie sesión en el portal MyRackspace y seleccione Alojamiento dedicado del menú desplegable de productos en la barra de navegación superior.

  2. En la barra de navegación superior, haz clic en Entradas> Crear entrada. .

  3. En Boletos / Crear Nuevo Boleto página, seleccione Generar solicitud de firma de certificado (CSR) del Asunto lista desplegable.

  4. Ingrese la siguiente información en los Detalles del boleto sección:

    Campo Explicación Ejemplo
    Dispositivo(s) El servidor o servidores para los que desea generar una CSR. Utilice el menú desplegable para seleccionar sus servidores.
    Nombre común El nombre de dominio completo al que se aplica el certificado. Los nombres de dominio example.com y www.ejemplo.com son distintos entre sí, así que asegúrese de enviar su solicitud para el dominio correcto. Si desea proteger ambos dominios, puede usar los Nombres alternativos campo. Si está comprando un certificado comodín, use *.example.com . ejemplo.com
    Alt. Nombres (Opcional) Dominios adicionales que desea agregar a la solicitud. Cada CA los trata de manera diferente, y la CA puede cobrar por nombres adicionales. Puede enviar una lista separada por comas. www.ejemplo.com, seguro.ejemplo.com
    Dirección de correo electrónico (Opcional) Una dirección de correo electrónico de contacto para el certificado. [email protected]
    Organización El nombre legal exacto de su organización. La CA podría tratar de confirmar que su organización es real y está registrada legalmente, así que no abrevie palabras que no estén abreviadas en el nombre legal de la organización. Ejemplo Inc.
    Unidad organizativa (Opcional) La sucursal de su organización que realiza la solicitud. Mercadotecnia
    Localidad (Ciudad) La ciudad donde se encuentra legalmente su organización. No abrevie el nombre de la ciudad. San Antonio
    Nombre del estado o provincia El estado o provincia donde se encuentra legalmente su organización. No abrevie el nombre del estado o provincia. Texas
    País Elija su país en el menú desplegable. La abreviatura ISO de dos letras de su país se incluye en el CSR. Estados Unidos

    Nota: La longitud de bits se establece automáticamente en 2048.

  5. Haz clic en Crear ticket .

Pasos siguientes

  • Comprar o renovar un certificado SSL
  • Instalar un certificado SSL

Referencia

  • https://www.digicert.com/csr-ssl-installation/iis-8-and-8.5.htm

Linux

  1. 6 opciones de comandos de OpenSSL que todo administrador de sistemas debería conocer

  2. Cómo generar una solicitud de firma de certificado (CSR) en Linux

  3. ¿Cómo verificar si el certificado SSL es SHA1 o SHA2 usando OpenSSL?

  4. ¿Generar huellas dactilares Hpkp para toda la cadena de certificados?

  5. Openssl:certificado autofirmado de error en la cadena de certificados

Cómo generar una solicitud de firma de certificado (CSR) en Ubuntu

Cómo generar certificados SSL autofirmados usando OpenSSL

Autoridad de certificación con OpenSSL

¿Cómo generar CSR en Plesk 17?

Cómo generar una CSR (Solicitud de firma de certificado) en Linux

¿Cómo generar un certificado de openssl con vencimiento inferior a un día?