Instalación de un certificado TLS

Introducción

Para algunas operaciones es necesario disponer de un certificado TLS. * HTTPS: Para tener conexiones web seguras (ej. cuando los usuarios se registran o hacen login) * SMTP: Para que los usuarios puedan enviar correo sin que pueda ser capturado o manipulado por terceros que estén escuchando la red del cliente o del servidor. * POP3: Lo mismo que en el caso de SMTP, aplicado a la recepción de mensajes por parte de los clientes.

Generación

Para generar certificados TLS usamos el paquete openssl.

aptitude install openssl

En primer lugar hay que generar una clave privada RSA. Genero una con un módulo de 4096 bits.

openssl genrsa -out cactus.key 4096

Después genero una petición de firma.

openssl req -key cactus.key -out cactus.csr

Esa petición de firma la envío a mi autoridad certificadora. Mi autoridad reconoce que soy administrador de cactus.rufian.eu y me envía un certificado, cactus.pem.

Instalación

cactus.crt sólo contiene claves públicas, por lo que no es preocupante que sea leído por otros usuarios (de hecho, se envía con cada conexión HTTPS). Lo guardo por tanto en una ruta con permisos 444 (legible por todos). En mi caso además necesito incluir certificados en cadena, por lo que descargo el certificado cadena y lo uno al de Cactus.

cd /etc/ssl/certs
wget -O startssl.class1.server.ca.pem http://www.startssl.com/certs/sub.class1.server.ca.pem
cat ~/cactus.pem startssl.class1.server.ca.pem > cactus.pem
chmod 444 cactus.pem startssl.class1.server.ca.pem

cactus.key es una clave privada y debe guardarse celosamente. Lo guardo en la siguiente ruta y le doy permisos 400. Asigno a root como propietario del fichero.

/etc/ssl/private/cactus.key
chmod 400 /etc/ssl/private/cactus.key
chown root:root /etc/ssl/private/cactus.key

cactus.csr sólo es necesario para la petición de firma, y una vez que se tiene el certificado final es una buena idea eliminarlo.

shred -u cactus.csr

Contenidos

Tema anterior

Configuración de un nombre de dominio

Próximo tema

Servidor local Tronco

Esta página