-
Cómo crear la Autoridad de Certificación
-
SSL utiliza Autoridades de Certificación (CA) para garantizar la integridad de cifrado de clave pública. La autoridad de certificación verifica la clave pública de la persona y lo firma con una firma digital. Dos entidades emisoras conocidas son Verisign y Thawte. Es posible ejecutar su propia CA si utiliza OpenSSL. Los certificados son creados exclusivamente para uso personal y no se puede confiar en el personal ajeno. Sin embargo, son útiles para el envío de datos seguras dentro de una intranet o a un servidor personal.
Instrucciones
1 Abra una ventana de terminal para acceder a un símbolo del sistema en el que va a escribir los siguientes comandos.
2 Escriba el comando "su" para cambiar al usuario root.
3 Escriba el comando "mkdir -m 0755 / etc / pki_personal" para crear el directorio para los archivos de certificación.
4 Crear el árbol de directorios autoridad de certificación con el siguiente comando:
mkdir -m -0755 / etc / pki_personal / my_CA / etc / pki_personal / my_CA / private / etc / ppki_personal / my_CA / certs / etc / pki_personal / my_CA / newcerts / etc / pki_personal / my_CA / CRL5 Escriba el comando "cp /etc/pki/tls/openssl.cnf /etc/pki_personal/my_CA/my.cnf" para copiar el archivo de configuración openssl al nuevo directorio.
6 Escriba el comando "chmod 0600 /etc/pki_personal/my_CA/my.cnf" para cambiar los permisos en el archivo my.cnf.
7 Escriba el comando "toque /etc/pki_personal/my_CA/index.txt" para crear el archivo de base de datos para OpenSSL.
8 Escriba el comando "echo" 01 "> / etc / pki_personal / my_CA / serie" para establecer el número de serie del certificado a 01.
9 Navegar en el directorio / pki_personal / my_CA directorio / etc y escriba el siguiente comando para crear el certificado de entidad emisora de certificados y la clave:
openssl req -config my.cnf -nuevo -x509 -extensiones v3_ca -keyout privada / salida privado my_ca.key certs / my_ca.crt -days 1700
Escriba una frase de contraseña segura cuando se le solicite.10 Abra el archivo my.cnf en un editor de texto y cambiar los valores para reflejar su directorio personalizado y certificación certificado de autoridad y la clave.
11 Navegar en el directorio / etc / pki_personal / my_CA y crear la solicitud de certificación con el siguiente comando:
openssl req -config my.cnf -nuevo -nodes -keyout privada / salida privado server.key server.csr -days 182
Escribir la información del certificado cuando se le solicite.12 Establecer el permiso de la clave privada con los siguientes comandos:
chown root.root /etc/pki_personal/my_CA/private/server.key
chmod 0400 /etc/pki_personal/my_CA/private/server.key13 Escriba el siguiente comando para firmar la solicitud de certificado:
openssl ca -config my.cnf -policy policy_anything salida privado certs / server.crt -infiles server.csr
Proporcionar la clave privada para firmar la solicitud.14 Escriba el comando "rm -f /etc/pki_personal/my_CA/server.csr" para borrar la solicitud de certificado.
15 Escriba los siguientes comandos para verificar el certificado:
openssl x509 -in certs / server.crt -noout -text
openssl verificar -Finalidad SSLServer -CAfile /etc/pki_personal/my_CA/certs/my_CA.crt /etc/pki_personal/my_CA/certs/server.crt