Taller-2 John Correa OpenSSL en CentOS-RedHat LinuxInstalar
OpenSSL yum install openssl Configuracin 1. Cambie al directorio
/etc/pki/CA cd /etc/pki/CA 2. Crear un directorio para almacenar
los certificados mkdir certs 3. Crear un directorio para almacenar
la lista de certificados de revocacin mkdir crl 4. Crear un
directorio para almacenar el Certificado del Servidor en formato
PEM (unencrypted) mkdir newcerts 5. Crear un archivo para almacenar
la base de datos de certificados. touch index.txt 6. Crear un
archivo para almacenar los numeros seriales de los certificados.
echo '01' > serial 7. Create a file that holds the next
Certificate Revocation List serial number echo '01' > crlnumber
8. Haga una copia del archivo por defecto sistemas de configuracin
de openssl para nuestro uso cp /etc/pki/tls/openssl.cnf openssl.cnf
9. Edite el archivo de configuracin con los siguientes cambios.
/etc/pki/CA/openssl.cnf 1. Cambie la linea 37 De dir = ../../CA#
Where everything is kept Por dir = . # Where everything is kept 2.
Cambie la linea 45 De certificate = $dir/cacert.pem # The CA
certificate Por certificate = $dir/certs/ca.crt # The CA
certificate 3. Cambie la linea50 De private_key =
$dir/private/cakey.pem# The private key Por private_key =
$dir/private/ca.key # The private key 10. Modifique los permisos
para el archivo /etc/pki/CA/openssl.cnf chmod 0600 openssl.cnf
Crear una Entidad Certificadora (CA) 1. Cambie al directorio de
la entidad CA /etc/pki/CA cd /etc/pki/CA 2. Crear el certificado
Autorizacin openssl req -config openssl.cnf -new -x509 -extensions
v3_ca -keyout private/ca.key -out certs/ca.crt -days 3650 Enter PEM
pass phrase: Redes.2011 Re-Enter PEM pass phrase: Redes.2011
Country Name: Colombia State or Province Name: Cundinamarca
Locality Name: Bogota Organization Name: Redes Organizational Unit
Name: TRS = Certificate Authority Common Name: ca.redes Email
Address: ca@redes 3. Restringir el acceso a la llave privada solo
para root y generar permisos de lectura para los otros usuarios
chmod 0400 private/ca.key Crear una solicitud de certificado 1.
Cambie al directorio /etc/pki/CA cd /etc/pki/CA 2. Crear una
solicitud de certificado para un buen ao openssl req -config
openssl.cnf -new -nodes -keyout private/redes.key -out redes.csr
-days 365 Country Name: Colombia State or Province Name:
Cundinamarca Locality Name: Bogota Organization Name: Redes
Organizational Unit Name: TRS = Secure Web Server Common Name:
redes.edu Email Address: [email protected] Challenge password: [ENTER]
Optional company name: [ENTER] 3. Restringir el acceso a la clave
privada para que slo root y apache puede leerlo Nota: Se requiere
verificar Openldap chown root:apache private/$domain.key chmod 0440
private/$domain.key Firmar una peticin de certificado (CSR) 1.
Cambie al directorio /etc/pki/CA cd /etc/pki/CA 2. Para firmar una
peticin de certificado ejecute el siguiente comando openssl ca
-config openssl.cnf -policy policy_anything -out certs/redes.crt
-infiles redes.csr Introduzca la ca.key contrasea: redes Firma el
certificado: yes
3. Eliminar la solicitud de certificado rm -f redes.csr Crear
una lista de revocacin de certificados 1. Generar una nueva lista
de revocacin de certificados openssl ca -config-crl openssl.cnf
-gencrl -out/ca.crl Introduzca clave ./private/ca.key: redes
Revocar los Certificados openssl ca -config openssl.cnf -revoke
certs/redes.crt Escriba la clave ./private/ca.key: redes
Verificar los Certificados 1. Verifique el subject y issuer del
certificado. openssl x509 -subject -issuer -enddate -noout -in
certs/redes.crt 2. Verifique todos los contenidos del certificado
openssl x509 -in certs/redes.crt -noout -text 3. Verifique que el
certificado es valido para el servidor de autenticacin. openssl
verify -purpose sslserver -CAfile certs/ca.crt certs/redes.crt
