The Kraw Daemon HeadQuarter

Como ya me he sacado de la manga una Autoridad Certificadora ya puedo generar mi propio certificado.

Genero mi clave privada del futuro certificado digital :

openssl genrsa -des3 -out www_privada.pem -passout pass:miclavepreferida 2048

Ole, ya tengo mi clave de servidor privada con cifrado 3DES de 2048 bytes.

Ahora hago la petición de certificado donde genero el propietario y emisor del mismo :

openssl req -new -subj "/DC=karl0sfx/OU=net/CN=www.karl0sfx.net" -key www_privada.pem -passin pass:miclavepreferida -out peticion-certificado.pem

Antes de emitir el certificado es una buena idea definir características concretas del que generemos sin necesidad de modificar el openssl.conf de nuestra instalación, puedo generar un fichero de texto con la parametrización que quiera, por ejemplo vi /etc/ssl/certificado-karl0sfx.net con el contenido :

basicConstraints = critical,CA:FALSE
extendedKeyUsage = serverAuth

Con esta configuración de una tacada le indico que quiero usarlo para autenticar un servidor web cumpliendo con la version 3 de los certificados X509 y con varias RFCs de cuyo nombre no quiero ni acordarme!

Ahora solo queda generar, generar sin parar si nos acordamos de nuestra clavefavorita, claro :

openssl x509 -CA clave_publica.pem -CAkey clave_privada.pem -req -in peticion-certificado.pem -days 365 -extfile /etc/ssl/certificado-karl0sfx.net -sha1 -CAcreateserial -out certificado-karl0sfx.pem

Toda la linea significa que genero un certificado X509 cuya CA se muestra en clave_publica.pem que usa la clave privada clave_privada.pem y que los detalles del mismo se encuentran en la peticion peticion-certificado.pem creando todo esto en el fichero que hará de certificado certificado-karl0sfx.net.pem Facil, sencillo a la par que intuitivo no me lo negareis!