Certificado de servidor

Cuando emitimos un certificado para un servidor deberemos asegurarnos que lo emitimos con el nombre correcto del servidor. Algunos servicios no funcionarán si el nombre al que está emitido el certificado no es idéntico al nombre del servidor.

Primero creamos una carpeta para guadar los certificados:

mkdir /etc/pki/tls/caronte.bezmi.ies
cd /etc/pki/tls/caronte.bezmi.ies

A continuación hacemos una solicitud de certificado. Así obtenemos las llaves pública y privada. La llave privada irá cifrada con una clave. Si no quisiéramos ponerle clave, añadimos la opción -nodes. No obstante más tarde crearemos una copia de la llave privada sin contraseña. Si añadimos -config openssl.cnf, tomará de ahí los datos predeterminados. Si no especificamos un fichero openssl.cnf  entonces usará el fichero genérico /etc/pki/tls/openssl.cnf.

Podemos cambiar la ubicación de la esta carpeta donde se guardan los certificados emitidos.

openssl req [-config /etc/pki/tls/openssl.cnf]
 -new -keyout caronte.bezmi.ies.key \
 -out caronte.bezmi.ies.req -days 365

Ahora firmamos el certificado con nuestra autoridad certificadora. Para poder firmar un certificado necesitamos la clave de la llave privada de la autoridad certificadora.

openssl ca  -policy policy_anything \
 -out caronte.bezmi.ies.crt \
 -infiles caronte.bezmi.ies.req

Ahora convertimos el anterior certificado a otros formatos que pueden ser de utilidad:

openssl x509 -in caronte.bezmi.ies.crt  \
    -out caronte.bezmi.ies.pem

openssl x509 -inform PEM -outform DER \
  -in caronte.bezmi.ies.pem \
  -out caronte.bezmi.ies.der