Documente Academic
Documente Profesional
Documente Cultură
Debian Lenny.
2-Creamos un directorio central para almacenar todo lo que tenga que ver
con la entidad certificadora
#mkdir /etc/ssl/CA
#
****************************************************************
*********************
# www.linuxtotal.com.mx
# sergio.gonzalez.duran@gmail.com
#
# Archivo de configuracion para openssl
#
# ***** openssl.cnf ******
[ CA_default ]
serial = $dir/serial # archivo que guarda el
siguiente número de serie
database = $dir/index.txt # archvio que guarda la bd de
certificados
new_certs_dir = $dir/certificados # dir que guarda los
certificados generados
certificate = $dir/certificadoCA.pem # nombre del archivo del
certificado raíz
private_key = $dir/privado/cakey.pem # llave privada del
certificado raíz
default_md = md5 # algoritmo de dispersión
usado
preserve = no # Indica si se preserva o no
el orden de los
# campos del DN cuando se
pasa a los certs.
nameopt = default_ca # esta opcion y la siguiente
permiten mostrar
# detalles del certificado
certopt = default_ca
policy = policy_match # indica el nombre de la
seccion
# donde se especifica que
campos son
# obligatorios, opcionales y
cuales deben ser
# iguales al certificado
raíz
authorityKeyIdentifier = keyid:always,issuer:always
#
**********************************************************************
***************
#openssl req -x509 -newkey rsa:2048 -days 3650 -keyout cakey.pem -out
certificadoCA.pem -config /etc/ssl/CA/openssl.cnf
Este comando genera dos archivos, la clave privada con la que firmaremos
nuestros futuros certificados y el certificado con la clave pública que
instalaremos, si queremos no recibir avisos, en el navegador web. Este
comando te pedirá algunos datos (nombre de empresa, país…) y, sobre
todo, una contraseña. Deberás recordarla cada vez que vayas a firmar un
certificado SSL, así que no la olvides; Ya tenemos nuestra CA creada.
#nano configservidor.cnf
basicConstraints = critical,CA:FALSE
extendedKeyUsage = serverAuth
Y firmamos el certificado:
SSLEngine on
SSLCertificateFile /etc/ssl/CA/certificado-cliente-web.pe.pem
SSLCertificateKeyFile /etc/ssl/CA/claveprivada.pem
#nano /etc/apache2/sites-availables/default
<VirtualHost *:80>
ServerAdmin webmaster@localhost
RedirectPermanent / https://torres.com
DocumentRoot /var/www/cuil
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
DirectoryIndex Cuil.html
AllowOverride None
Order allow,deny
</Directory>
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Order allow,deny
</Directory>
ErrorLog /var/log/apache2/error.log
# alert, emerg.
LogLevel warn
<Directory "/usr/share/doc/">
AllowOverride None
Order deny,allow
</Directory>
</VirtualHost>
<VirtualHost *:443>
ServerAdmin webmaster@localhost
ServerName torres.com
DocumentRoot /var/www/cuil
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
DirectoryIndex Cuil.html
AllowOverride None
Order allow,deny
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Order allow,deny
</Directory>
ErrorLog /var/log/apache2/error.log
# alert, emerg.
LogLevel warn
<Directory "/usr/share/doc/">
AllowOverride None
Order deny,allow
</Directory>
SSLEngine on
SSLCACertificateFile /etc/ssl/CA/certificadoCA.pem
SSLCertificateFile /etc/ssl/CA/certificado-cliente-web.pe.pem
SSLCertificateKeyFile /etc/ssl/CA/claveprivada.pem
SSLVerifyClient require
</VirtualHost>
#a2enmod ssl
#nano configcliente.cnf
basicConstraints = critical,CA:FALSE
extendedKeyUsage = clientAuth
Con esto daremos instrucciones de que es un certificado cliente a la hora de
firmar el certificado.
Editar >>>Preferencias>>>Avanzadas>>>Encriptacion>>>Ver
Certificados>>>
Sus Certificados>>>Importar
En el momento de importar el archivo nos pedirá la contraseña con que lo
creamos anteriormente.
#/etc/init.d/apache2 restart.
Al dar en OK nos mostrara el contenido web o sea nuestra pagina que esta
en un sitio web seguro (443).
Referencias:
http://blog.osusnet.com/2008/10/11/usandocertificadosssldeclientecomosistemade
autenticacionweb/
www.google.com.co