Ya una vez hablé en esta desbitácora de cómo crear una Autoridad de Certificación. Hoy retomo el tema, habiendo ampliado mis conocimientos acerca de OpenSSL un poco más desde entonces.
Sin entrar en detalles de qué es y para qué sirve una Autoridad Certificadora, voy a exponer en breve los pasos a seguir para tener una CA casera propia.
Estos pasos hay que llevarlos a cabo en un directorio cualquiera, dentro del cual aparecerá un nuevo directorio llamado demoCA.
- Generamos la clave privada de la CA con
openssl genrsa -des3 -out CA_key.pem 4096
que nos preguntará y verificará la contraseña con la que queremos proteger la clave. - Creamos el certificado autofirmado de la CA con
openssl req -x509 -key CA_key.pem -new -set_serial 0 -out CA_cert.pem
que nos preguntará varios datos. El CN no puede estar vacío. - Generamos la estructura de la CA con
/usr/lib/ssl/misc/CA.pl -newca
que nos preguntará por el certificado de la CA, a lo que responderemosCA_cert.pem
- Generamos el fichero de números de serie con
echo 01 > demoCA/serial
- Movemos la clave de la CA y su certificado a los sitios previstos
mv CA_key.pem demoCA/private/cakey.pem
mv CA_cert.pem demoCA/cacert.pem - Extraemos (si queremos) la cave pública de la CA a partir de la privada con
openssl rsa -pubout -in demoCA/private/cakey.pem -out demoCA/cakey_public.pem
Y ya tenemos nuestra CA casera lista para trabajar.
Ojo: no pierdas nunca la contraseña que has introducido para cifrar la clave privada de la CA. Sin esa contraseña, toda la estructura de la CA queda inutilizada.
