Solicitud de certificado digital para nombre de servicios
- Detalles Última actualización: Viernes, 26 Junio 2015 10:31
Los certificados digitales para nombre de servicios asociados a DNS se generan de dos maneras:
- Solicitud de firma de certificado digital generada por el Centro de Certificado Digital
- Solicitud de firma de certificado digital generada por el solicitante
A.- Solicitud generada por el Centro de Certificado Digital
Este certificado digital se emite usando los datos proporcionados por el solicitante a través de la comunicación formal de la solicitud.
Tenga en cuenta que la clave privada de este certificado no está protegida por contraseña, lo cual permite a arrancar el servicios sin necesidad de ingresar la contraseña, sin embargo se debe proteger el servidor para evitar el extravío del archivo de clave privada. Esto es útil para portales web.
Para la emisión del certificado digital se requiere la siguiente información:
- Nombre DNS del servicio (por ejemplo www.dimetel.uc.edu.ve). Si un servicio contiene "www", se incluirá como dirección alterna, la dirección sin "www", al menos que se manifieste lo contrario.
- Dirección de correo electrónico del responsable del servicio.
- Nombre de la Dependencia de la solicitud.
- Nombre DNS alterno o direccion IP del servicio (opcional).
Una vez verificado los datos de la solicitud, se generará el certificado digital y se enviará a la dirección de correo electrónico del responsable del servicio tres archivo: el certificado digital firmado (en formato CRT y DER) y la clave privada del certificado digital.
B.- Solicitud generada por el solicitante
Este certificado digital de emite a partir del archivo de solicitud de firma de certificado digital creada por el solicitante (CSR), en el cual se debe enviar como adjunto al correo electrónico cert<arroba>uc.edu.ve. En esta modalidad, la clave privada del certificado puede ser protegida opcionalmente por una contraseña por parte del solicitante.
Tenga en cuenta que establecer una contraseña de protección a la clave privada implica que los servicios que utilicen este certificado deberán introducir la contraseña cada vez que arranque el servicio.
Para la generación del certificado se requiere que la solicitud del certificado generado por openssl tengan los siguiente datos:
- Campo País: valor "VE"
- Campo State: valor "Carabobo"
- Campo Location: valor "Valencia"
- Campo Organization: valor "Universidad de Carabobo"
- Campo Organization Unit: La dirección o dependencia solicitante
- Campo Common Name: nombre completo DNS del servicio y correo electrónico UC del responsable del servicio en el siguiente formato: <nombre_dns>/emailAddress=<direccion_correo>, por ejemplo www.pagina.uc.edu.ve/emailAddress=solicitante<arroba>uc.edu.ve
- Si el servicio tiene nombres alterno o dirección IP, incorporarlo en la extensión X509v3 llamado "Subject Alternative Name", separandolo por coma y prefijando el tipo según sea:
- DNS: Si es una dirección del servicio DNS
- IP: Si es una dirección IP del servicio
- La clave debe ser al menos 2048 bits
Una vez recibido el archivo de solicitud de firma de certificado digital (CSR), verificado los datos del certificado, se generará el certificado digital firmado y se enviará a la dirección de correo del responsable del servicio el certificado digital firmado en formato CRT y DER.
Guía para generar archivo de solicitud de certificado digital
Para facilitar la generación del archivo de solicitud se provee una breve guía para generar el archivo de solicitud para este caso. Para poder generar se requiere openssl instalado bajo linux.
1.- Descargar archivo de configuración openssl
Si el certificado digital tiene un solo nombre descarge el archivo openssl-server.cnf, si tiene varios nombres (como por ejemplo, con www y sin wwww) y/o dirección IP asociada descargue openssl-server-alt.cnf
2.- Valor para múltiples nombres y dirección IP
En el shell de bash crea una variable de entorno llamado SAN, cuyo valor contenta la lista de nombres alternos y dirección IP separados por coma, prefijando cada elemento el tipo según sea:
- DNS: Si es una dirección del servicio DNS
- IP: Si es una dirección IP del servicio
3.- Generar el archivo de solicitud de firma de certificado digital
Ejecute el openssl con:
openssl req -new [protegido] -config <config>.cnf -keyout <archivo_certificado>.key -out <archivo_certificado>.csr
Reemplazando los parámetros según sea conveniente:
- [protegido]: Si va a crear una clave de protección para poder utilizar el certificado indique "-nodes"
- <config>: Indique el archivo de configuración de SSL según sea el tipo:
- openssl-server: Si el servicio tiene un solo nombre DNS
- openssl-server-alt: Si el servicio tiene un varios nombre DNS y dirección IP
- <archivo_certificado>: Indique el nombre de archivo sin extensión del certificado digital. Usualmente el archivo de clave privada (.key) y solicitud (.csr) utiliza el mismo nombre base
4.- Enviar el archivo de solicitud de firma de certificado digital
Envíe el archivo de solicitud de firma de certificado digital que tiene extensión .csr al correo cert<arroba>uc.edu.ve (reemplace <arroba> por @), y espere por el proceso de verificación y firma.