Generar un Certificate Signing Request (CSR) utilizando SSL/Red Hat Linux Apache – SecureWeb Server

Para generar una CSR es necesario crear un par de claves para el servidor. Estos dos elementos son un par de claves de certificados digitales y no pueden separarse. Si pierde el archivo de clave pública/privada (par de claves) y crea uno nuevo, su certificado SSL dejará de coincidir. Deberá solicitar un certificado SSL nuevo por el que se le podrá cobrar. También necesitará crear una contraseña. Si pierde la contraseña y genera una nueva, el certificado SSL ya no coincidirá. Deberá solicitar un certificado SSL nuevo por el que se le podrá cobrar. VeriSign recomienda ponerse en contacto con el proveedor de Redhat SWS para obtener información adicional. 

Creación de la clave privada

1. Utilice el comando cd para ir al directorio /etc/httpd/conf.
2. Para crear la clave, introduzca como raíz uno de los tres comandos siguientes:

Si utiliza Official Red Hat Linux Professional y desea utilizar la función de contraseña incluida, introduzca el siguiente comando: makegenkey

Se creará la clave y se le pedirá que introduzca y confirme una contraseña. La contraseña debe contener un mínimo de ocho caracteres, incluir números o signos de puntuación y no ser una palabra del diccionario. Recuerde que la contraseña distingue entre mayúsculas y minúsculas.  No olvide esta contraseña, ya que deberá introducirla cada vez que inicie su servidor Web seguro.

Si utiliza Official Red Hat Linux Professional y no desea introducir una contraseña cada vez que inicie su servidor Web seguro, escriba el siguiente comando, todo en una línea,  en lugar de "makegenkey" para crear la clave:  

/usr/sbin/sslgenrsa -rand /dev/urandom -outssl.key/server.key2048

A continuación, introduzca el siguiente comando para establecer los permisos de la clave chmodgo-rwxssl.key/server.key

Si utiliza los comandos anteriores para crear la clave, no tendrá que introducir una contraseña para iniciar su servidor Web seguro. Si embargo, se recomienda no desactivar la función de contraseña para el sitio Web seguro, ya que esto podría disminuir el nivel de seguridad del servidor.

Si utiliza Official Red Hat Linux Professional, International Edition, introduzca el siguiente comando en una sola línea:

/usr/bin/opensslgenrsa -rand /dev/urandom -out /etc/httpd/conf/server.key2048

 Si utiliza Official Red Hat Linux Professional, International Edition no tendrá que introducir la contraseña.

3. La clave se creará y se guardará en un archivo denominado server.key.

Si utiliza Official Red Hat Linux Professional, el archivo server.csr estará ubicado en el directorio /etc/httpd/conf/ssl.key.

Si utiliza Official Red Hat Linux Professional, International Edition, el archivo server.key estará ubicado en /etc/httpd/conf.

El archivo server.key debe pertenecer a la raíz y no ser accesible para ningún otro usuario. Haga una copia de seguridad de este archivo y guárdela en un lugar seguro. Necesita la copia de seguridad porque si pierde el archivo server.key tras usarlo para crear la CSR y adquiere un certificado, el certificado dejará de funcionar y no le podremos ayudar. La única alternativa posible en ese caso sería solicitar un nuevo certificado.

Creación de CSR

1. En el directorio /etc/httpd/conf, conviértase en raíz e introduzca uno de los comandos siguientes:

Si utiliza Official Red Hat Linux Professional, introduzca el siguiente comando makecertreq

Si utiliza Official Red Hat Linux Professional International Edition, introduzca el siguiente comando en una sola línea: 

/usr/bin/opensslreq -new -key /etc/httpd/conf/server.key -out /etc/httpd/conf/server.csr

2. Se le pedirá que introduzca su contraseña (si ha utilizado una contraseña al crear la clave). Introduzca la contraseña en caso de ser necesario.
3. Aparecerán algunas instrucciones y se le pedirán respuestas para los siguientes atributos X.509 del certificado (la información introducida se incorporará a la CSR):

Country (C): Utilice el código de dos letras sin puntuación que corresponda a su país, por ejemplo: CL o PE.
State o Province (S): Escriba el nombre completo del estado o la provincia, no lo abrevie; por ejemplo: Valparaíso.
City o Locality (L): Nombre de la ciudad o localidad, por ejemplo: Santiago o Lima.
Organization (O): Si el nombre de la empresa o departamento muestra &, @ o algún otro símbolo que requiera el uso de un carácter especial al escribirlo, deberá deletrear el símbolo u omitirlo para poder subscribirse, por ejemplo, XY & Z Corporation sería XYZ Corporation o XY y Z Corporation.
Organizational Unit (OU): Es el nombre del departamento o unidad de la organización que realiza la solicitud.
Common Name (CN): El nombre común es el nombre de host + dominio. El resultado sería "www.empresa.com" o "empresa.com".

Nota: los certificados de VeriSign sólo pueden utilizarse en los servidores web que utilicen el nombre común que se especifique durante la subscripción. Por ejemplo, un certificado del dominio "dominio.com" recibirá una advertencia si se accede a un sitio denominado "www.dominio.com" o "dominio.seguro.com", ya que "www.dominio.com" y "dominio.seguro.com" no son iguales que "dominio.com". No escriba su dirección de correo electrónico, contraseña de comprobación o un nombre de compañía opcional cuando cree la CSR.

4. Cuando haya terminado de introducir la información, se creará un archivo denominado server.csr. Si utiliza Official Red Hat Linux Professional, el archivo server.csr estará ubicado en el directorio /etc/httpd/conf/ssl.csr.
5. Habrá creado el par de claves y la CSR.
6. El archivo server.csr contiene su solicitud de certificado. Para copiar y pegar la información en el Enrolamiento, abra el archivo en un editor de texto que no añada caracteres adicionales (se recomienda el Bloc de notas o Vi).
7. Realice el enrolamiento.

Durante el proceso de verificación es posible que e- Sign VeriSign tenga que ponerse en contacto con su organización. Asegúrese de proporcionar una dirección de correo electrónico, un número de teléfono y número de fax que se comprobará de inmediato. Estos campos no forman parte del certificado.