Firmar certificados SSL con autoridades de certificación
Antes de que pueda adquirir certificados SSL de una autoridad de certificación (CA) de confianza necesita una clave privada y una CSR (petición de firma de certificado). Debe almacenar la clave privada de forma segura y no revelársela a nadie; la autoridad de certificación pedirá la CSR durante el proceso de solicitud.
Puede crear la clave privada y la CSR usando una herramienta que ya exista en su sistema operativo (como Keychain Access en Mac o openssl en Linux) o con herramientas de terceros. El siguiente ejemplo usa el paquete de herramientas OpelSSL (https://www.openssl.org/). Tenga en cuenta que OpenSSL es una biblioteca de software libre, por lo que es posible que tenga que compilarla antes de poder usarla en la línea de comandos. Las instrucciones de compilación e instalación para OpenSSL varía para cada sistema operativo y no se incluyen en esta documentación. Es posible que ya exista OpenSSL para equipos Linux y Mac; de lo contrario puede instalarlo o actualizarlo desde la línea de comandos. Puede comprobar rápidamente si tiene instalado OpenSSL tecleando el siguiente comando (que también indica qué versión de OpenSSL está instalada):
openssl version |
En Windows puede compilar archivos binarios desde el código fuente oficial de OpenSSL o, como alternativa, descargar una distribución binaria que incluya OpenSSL. Consulte también https://www.openssl.org/community/binaries.html.
Para obtener un certificado SSL firmado:
1.Cree una clave privada. El siguiente comando OpenSSL genera una clave llamada flowforce.key con un tamaño de 2048 bits (el nivel mínimo de cifrado aceptado por lo general por una autoridad de certificación).
openssl genrsa -out flowforce.key 2048 |
Nota •la clave privada debe estar en formato PEM (correo de privacidad mejorada). La extensión de los archivos PEM suele ser .pem, pero también puede ser .key, .cert, .cer, or .crt. •para que la clave privada se pueda usar en FlowForce no debe estar protegida por una contraseña, véase Requisitos de clave privada. •la clave privada debe guardarse de forma segura. |
2.Cree una Petición de firma de Certificado (CSR) para la clave privada que creó antes. Necesitará la CSR cuando adquiera su certificado SSL (véase el paso siguiente). El siguiente comando OpenSSL crea una CSR llamada myserver.csr para la clave myserver.csr:
openssl req -new -nodes -key flowforce.key -out myserver.csr |
Cuando la aplicación lo solicite, introduzca información sobre su organización, por ejemplo:
Country Name (2 letter code) [AU]: AT State or Province Name (full name) [Some-State]: . Locality Name (eg, city) []: Vienna Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Ltd Organizational Unit Name (eg, section) []: IT Common Name (eg, YOUR name) []: server.my.domain.com Email Address []: test@example.org |
Nota •para el campo Nombre común, asegúrese de que introduce el FQDN (nombre de dominio completo) del equipo anfitrión en el que se ejecuta FlowForce Server. •deje el campo de la contraseña de comprobación aleatoria cuando la aplicación la solicite. |
3.Solicite el certificado a una autoridad de certificación. Durante el proceso de solicitud necesitará proporcionar la CSR. Para ello, abra myserver.csr en un editor de texto como Notepad, copie su contenido en el portapapeles y péguelo en el campo correspondiente del formulario de solicitud en línea.
4.Cuando la autoridad de certificación haya validado su empresa le proporcionarán el certificado y los llamados certificados intermedios. Copie y pegue el contenido de todos los certificados intermedios en un solo archivo, como se indica en el apartado Preparar certificados intermedios.
Resumen
Si ha seguido los pasos anteriores, ahora debe contar con estos certificados y esta clave:
•flowforce.key: esta clave privada acompaña al certificado que usa FlowForce.
•certificate.crt (la extensión de archivo puede variar): este es el certificado adquirido, que cifra la conexión entre un navegador y FlowForce Web Server o la conexión entre una aplicación cliente que se conecta a un servicio web expuesto por FlowForce Server.
•intermediate.pem: este archivo incluye todos los certificados intermedios que haya recibido de la autoridad de certificación.
Ahora puede habilitar SSL para FlowForce Server, FlowForcer Web Server y para la conexión HTTP entre ellos, como se muestra a continuación:
•Habilitar SSL para FlowForce Web Server
•Habilitar SSL para FlowForce Server
•Habilitar SSL entre FlowForce Web Server y FlowForce Server