Obtener certificados de una autoridad de certificación
En esta sección se explican los pasos que debe seguir para obtener un certificado de una Autoridad de certificación (CA por sus siglas en inglés). Para poder habilitar conexiones con cifrado SSL para LicenseServer necesita estos archivos:
•Archivo de clave privada: generado por usted usando (i) una aplicación que puede que ya exista en su sistema operativo (como Keychain Access en macOS o OpenSSL en Linux) o (ii) aplicaciones de terceros (como OpenSSL).
•Archivo de certificado: esta es la clave pública que se basa en su clave privada y que debe comprar a una Autoridad de certificación (CA) reconocida, como VeriSign o Thawte. Para comprarla necesita: (i) el archivo de clave privada que generó y (ii) una Petición de firma de Certificado (CSR por sus siglas en inglés), que también puede generar con su aplicación SSL.
•Archivos de cadenas de certificados (o archivos de certificados intermedios): los suministra la CA junto con el archivo de clave pública del certificado.
A continuación explicamos los pasos necesarios para obtener estos tres archivos.
OpenSSL suele venir preinstalada en la mayoría de las distribuciones Linux y en los equipos macOS. También se puede instalar en equipos Windows; los pasos que se describen a continuación se explican con los comandos de OpenSSL. Para acceder a los enlaces de descarga de los binarios de instalación de Open SSL vaya a la wiki de OpenSSL.
Pasos para generar claves privadas y obtener certificados de una CA
El cifrado SSL necesita que tenga una clave privada instalada en el servidor. Para crear esa clave privada use este comando de OpenSSL: openssl genrsa -out private.key 2048
Esto crea un archivo llamado private.key, que contiene su clave privada. La clave privada debe estar en formato PEM (correo de privacidad mejorada). La extensión del archivo suele ser .pem, pero también puede ser .key, .cert, .cer, or .crt. La clave privada no debe estar protegida por contraseña. Guarde el archivo en una ubicación segura que pueda encontrar más adelante. (Consulte Private Key Requirements para más detalles.). Necesitará la clave privada para generar la Petición de firma de Certificado (CSR) ene l paso siguiente.
|
2.Generar una Petición de firma de Certificado (CSR)
La Petición de firma de Certificado (CSR) se envía a la autoridad de certificación (CA) para solicitar un certificado de clave pública. La Petición de firma de Certificado se basa en su clave privada y contiene información sobre su organización. Cree una Petición de firma de Certificado con este comando de OpenSSL (que suministra el archivo de clave privada, private.key, que creó en el paso 1, como uno de sus parámetros): openssl req -new -nodes -key private.key -out my.csr
Para generar la Petición de firma de Certificado necesitará proporcionar información de su organización como la de la lista siguiente. Esta información la usará la autoridad de certificación para confirmar la identidad de su empresa.
•País •Localidad (la ciudad en la que esté ubicado su negocio) •Organización (el nombre de su empresa). No use caracteres especiales, ya que estos invalidan el certificado. •Nombre común (el nombre DNS de su servidor). Debe usar el nombre de dominio completo (FQDN) del equipo host en el que se ejecuta el servidor de forma exacta. •Una contraseña de comprobación. Deje este campo en blanco.
|
Compre un certificado SSL de una autoridad de certificación (CA) reconocida, como son VeriSign o Thawte. Para el resto del procedimiento, siga los pasos que le indique VeriSign. El proceso con otras CA es parecido.
•Vaya al sitio web de VeriSign. •Haga clic en Comprar certificados SSL. •Existen distintos tipos de certificados SSL que puede comprar. Para LicenseServer bastan los certificados Secure Site o Secure Site Pro. La verificación ampliada (EV por sus siglas en inglés) no es necesaria, ya que no existe ninguna barra verde que vea el usuario. •Siga el procedimiento de registro y rellene la información necesaria para la compra. •Cuando se le pida la Petición de firma de Certificado (creada en el paso 2), copie y pegue el contenido del archivo my.csr en el formulario del pedido. •Pague el certificado con su tarjeta de crédito.
|
4.Recibir una clave pública y archivos intermedios de una CA
La autoridad de certificación completará el proceso de inscripción en uno a tres días laborables. Durante este tiempo puede que reciba algún correo electrónico o alguna llamada para comprobar que está autorizado para solicitar un certificado SSL para su dominio DNS. Colabore con la autoridad para completar el proceso.
También recibirá dos archivos de certificado intermedio (primario y secundario), bien como texto o como archivos. En algunos casos la autoridad de certificación mostrará contenido de certificados intermedios en su sitio web.
•Certificados intermedios de Verisign: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657&actp=LIST&viewlocale=en_US •Certificados intermedios de Verisign para sus productos Secure Site: https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1735
Copie y peque los dos certificados intermedios (primario y secundario) en dos archivos de texto distintos y guárdelos en su equipo.
|
5.Guardar la clave pública en un archivo
Para usar la clave pública con LicenseServer, esta se debe guardar en formato correo de privacidad mejorada (PEM). La extensión de archivo suele ser .pem pero también puede ser .key, .cert, .cer o .crt. Si la clave pública se suministró como texto, copie y pegue todas las líneas entre estas dos:
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
en un archivo de texto al que debe llamar certificate.cer.
|
6.Guardar los certificados intermedios de la CA en un único archivo
Para habilitar el cifrado SSL para LicenseServer debe combinar los certificados primario y secundario en un único archivo. Los archivos intermedios se reciben de la autoridad de certificación (véase el paso 4).
Copie y pegue los dos certificados intermedios en un solo archivo para que estén uno después del otro. El orden de la secuencia es importante: (i) certificado intermedio secundario y después (ii) certificado intermedio primario. Asegúrese de que no hay ninguna línea entre los dos certificados. --BEGIN CERTIFICATE-- certificado intermedio secundario --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificado intermedio primario --END CERTIFICATE--
Guarde el resultado en un archivo llamado intermediates.cer. (La extensión puede ser .pem, .key, .cert, .cer o .crt.) Este archivo contiene toda la cadena de confianza en forma de los certificados intermedios que la autoridad de certificación usó para firmar su certificado.
|
Archivos resultantes
Si ha seguido todos los pasos que acabamos de explicar debería tener estos archivos:
•Archivo de clave privada: al que hemos llamado private.key en los pasos anteriores (véase el paso 1)
•Archivo de certificado: al que hemos llamado certificate.cer en los pasos anteriores (véanse los pasos 2 a 5)
•Archivos de cadena de certificado (o archivos de certificado intermedio): al que hemos llamado intermediates.cer en los pasos anteriores (véanse los pasos 4 y 6)
Guarde estos archivos en su equipo. Necesitará acceder a ellos cuando habilite el cifrado SSL en la pestaña Settings de las opciones de configuración de la interfaz web del usuario de LicenseServer.