Si un certificado digital firmado es comprometido, es necesario informar el incidente al correo cert<arroba>uc.edu.ve (reemplace <arroba> por el símbolo @), a fin de iniciar el proceso de invalidación del certificado digital comprometido. La información que hay que enviar son los detalles del certificado como el serial, nombre del servicio y dependencia.

Una vez informado, se generará un nuevo certificado digital firmado y se enviará vía correo electrónico al responsable del certificado digital para nombre de servicio o al correo electrónico del certificado de este tipo.

Los certificados digitales para nombre de servicios asociados a DNS se generan de dos maneras:

• Solicitud de firma de certificado digital generada por el Centro de Certificado Digital
• Solicitud de firma de certificado digital generada por el solicitante

A.- Solicitud generada por el Centro de Certificado Digital

Este certificado digital se emite usando los datos proporcionados por el solicitante a través de la comunicación formal de la solicitud.

Tenga en cuenta que la clave privada de este certificado no está protegida por contraseña, lo cual permite a arrancar el servicios sin necesidad de ingresar la contraseña, sin embargo se debe proteger el servidor para evitar el extravío del archivo de clave privada. Esto es útil para portales web.

Para la emisión del certificado digital se requiere la siguiente información:

• Nombre DNS del servicio (por ejemplo www.dimetel.uc.edu.ve). Si un servicio contiene "www", se incluirá como dirección alterna, la dirección sin "www", al menos que se manifieste lo contrario.
• Dirección de correo electrónico del responsable del servicio.
• Nombre de la Dependencia de la solicitud.
• Nombre DNS alterno o direccion IP del servicio (opcional).

Una vez verificado los datos de la solicitud, se generará el certificado digital y se enviará a la dirección de correo electrónico del responsable del servicio tres archivo: el certificado digital firmado (en formato CRT y DER) y la clave privada del certificado digital.

B.- Solicitud generada por el solicitante

Este certificado digital de emite a partir del archivo de solicitud de firma de certificado digital creada por el solicitante (CSR), en el cual se debe enviar como adjunto al correo electrónico cert<arroba>uc.edu.ve. En esta modalidad, la clave privada del certificado puede ser protegida opcionalmente por una contraseña por parte del solicitante.

Tenga en cuenta que establecer una contraseña de protección a la clave privada implica que los servicios que utilicen este certificado deberán introducir la contraseña cada vez que arranque el servicio.

Para la generación del certificado se requiere que la solicitud del certificado generado por openssl tengan los siguiente datos:

• Campo País: valor "VE"
• Campo State: valor "Carabobo"
• Campo Location: valor "Valencia"
• Campo Organization: valor "Universidad de Carabobo"
• Campo Organization Unit: La dirección o dependencia solicitante
• Campo Common Name: nombre completo DNS del servicio y correo electrónico UC del responsable del servicio en el siguiente formato: <nombre_dns>/emailAddress=<direccion_correo>, por ejemplo www.pagina.uc.edu.ve/emailAddress=solicitante<arroba>uc.edu.ve
• Si el servicio tiene nombres alterno o dirección IP, incorporarlo en la extensión X509v3 llamado "Subject Alternative Name", separandolo por coma y prefijando el tipo según sea:
  
  • DNS: Si es una dirección del servicio DNS
  • IP: Si es una dirección IP del servicio
• La clave debe ser al menos 2048 bits

Una vez recibido el archivo de solicitud de firma de certificado digital (CSR), verificado los datos del certificado, se generará el certificado digital firmado y se enviará a la dirección de correo del responsable del servicio el certificado digital firmado en formato CRT y DER.

Guía para generar archivo de solicitud de certificado digital

Para facilitar la generación del archivo de solicitud se provee una breve guía para generar el archivo de solicitud para este caso. Para poder generar se requiere openssl instalado bajo linux.

1.- Descargar archivo de configuración openssl

Si el certificado digital tiene un solo nombre descarge el archivo openssl-server.cnf, si tiene varios nombres (como por ejemplo, con www y sin wwww) y/o dirección IP asociada descargue openssl-server-alt.cnf 

2.- Valor para múltiples nombres y dirección IP

En el shell de bash crea una variable de entorno llamado SAN, cuyo valor contenta la lista de nombres alternos y dirección IP separados por coma, prefijando cada elemento el tipo según sea:

• DNS: Si es una dirección del servicio DNS
• IP: Si es una dirección IP del servicio

3.- Generar el archivo de solicitud de firma de certificado digital

Ejecute el openssl con:

openssl req -new [protegido] -config <config>.cnf -keyout <archivo_certificado>.key -out <archivo_certificado>.csr

Reemplazando los parámetros según sea conveniente:

• [protegido]: Si va a crear una clave de protección para poder utilizar el certificado indique "-nodes"
• <config>: Indique el archivo de configuración de SSL según sea el tipo:
  • openssl-server: Si el servicio tiene un solo nombre DNS
  • openssl-server-alt: Si el servicio tiene un varios nombre DNS y dirección IP
• <archivo_certificado>: Indique el nombre de archivo sin extensión del certificado digital. Usualmente el archivo de clave privada (.key) y solicitud (.csr) utiliza el mismo nombre base

4.- Enviar el archivo de solicitud de firma de certificado digital

Envíe el archivo de solicitud de firma de certificado digital que tiene extensión .csr al correo cert<arroba>uc.edu.ve (reemplace <arroba> por @), y espere por el proceso de verificación y firma.

Este certificado digital se firma a partir del archivo de solicitud de firma de certificado digital (CSR) creada por el solicitante, en el cual se envía al correo electrónico cert<arroba>uc.edu.ve (reemplace <arroba> por el símbolo @)

La clave privada del certificado puede ser protegida opcionalmente por una contraseña por parte del solicitante, el cual es recomendable. Para el certificado se requiere que el archivo de solicitud de firma de certificado digital generado tengan los siguiente datos:

• Campo País: valor "VE"
• Campo State: valor "Carabobo"
• Campo Location: valor "Valencia"
• Campo Organization: valor "Universidad de Carabobo"
• Campo Organization Unit: La dirección o dependencia solicitante
• Campo Common Name (CN)/Nombre del usuario: Nombre de la persona
• En la extensión X509v3 llamado "Subject Alternative Name", dirección de correo electrónico UC

Guía para generar archivo de solicitud de firma de certificado digital

Para facilitar la generación del archivo de solicitud de firma de certificado digital se provee una breve guía. Se requiere openssl instalado bajo linux.

1.- Descargar archivo de configuración openssl

Descargue el archivo de configuración para solicitud de firma digital de correo electrónico, llamado openssl-email.cnf

2.- Generar el archivo de solicitud de firma de certificado digital

Ejecute el openssl en el mismo directorio donde se almacenó el archivo de configuración:

openssl req -new [protegido] -config openssl-email.cnf -keyout <archivo_certificado>.key -out <archivo_certificado>.csr

Reemplazando los parámetros según sea conveniente:

• [protegido]: Si va a crear una clave de protección para poder utilizar el certificado indique "-nodes"
• <archivo_certificado>: Indique el nombre de archivo sin extensión del certificado digital. Usualmente el archivo de clave privada (.key) y solicitud (.csr) utiliza el mismo nombre base

3.- Enviar el archivo de solicitud de firma de certificado digital

Envíe el archivo de solicitud de firma de certificado digital que tiene extensión .csr al correo cert<arroba>uc.edu.ve (reemplace <arroba> por @), y espere por el proceso de verificación y firma.

Las solicitudes de emisión de certificados digitales son cerradas, bajo requerimiento a través de canales regulares de comunicación hacia la Dirección de Medios Electrónicos y Telemática (DIMETEL).

Para generar la solicitud de firma de certificado digital lea el procedimiento según el tipo de requerimiento:

• Solicitud de certificado digital para nombre de servicios
• Solicitud de certificado digital para correo electrónico