Generar un CertificateSigningRequest (CSR) utilizando Stronghold

Para generar una CSR es necesario crear un par de claves para el servidor. Estos dos elementos son un par de claves de certificados digitales y no pueden separarse. Si pierde su contraseña o el archivo de clave pública/privada y crea uno nuevo, su certificado SSL dejará de coincidir. Deberá solicitar un certificado SSL nuevo por el que se le podrá cobrar. VeriSign recomienda ponerse en contacto con el proveedor de Stronghold para obtener información adicional. 

El CSR debe contener los siguientes atributos:

Country (C): Utilice el código de dos letras sin puntuación que corresponda a su país, por ejemplo: CL o PE.
State o Province (S): Escriba el nombre completo del estado o la provincia, no lo abrevie; por ejemplo: Valparaíso.
City o Locality (L): Nombre de la ciudad o localidad, por ejemplo: Santiago o Lima.
Organization (O): Si el nombre de la empresa o departamento muestra &, @ o algún otro símbolo que requiera el uso de un carácter especial al escribirlo, deberá deletrear el símbolo u omitirlo para poder subscribirse, por ejemplo, XY & Z Corporation sería XYZ Corporation o XY y Z Corporation.
Organizational Unit (OU): Es el nombre del departamento o unidad de la organización que realiza la solicitud.
Common Name (CN): El nombre común es el nombre de host + dominio. El resultado sería "www.empresa.com" o "empresa.com".

Nota: los certificados de VeriSign sólo pueden utilizarse en los servidores web que utilicen el nombre común que se especifique durante la subscripción. Por ejemplo, un certificado del dominio "dominio.com" recibirá una advertencia si se accede a un sitio denominado "www.dominio.com" o "dominio.seguro.com", ya que "www.dominio.com" y "dominio.seguro.com" no son iguales que "dominio.com".

Creación de un par de claves

La administración de las claves y certificados de Stronghold se realiza a través de tres secuencias de comandos: genkey, getcaygenreq. Estas secuencias de comandos forman parte de la distribución normal de Stronghold. Las claves y certificados se almacenan en el directorio $SSLTOP/private/, donde SSLTOP suele ser /usr/local/ssl. Para crear un par de claves y una CSR para su servidor:

1. Ejecute genkey especificando el nombre del host o host virtual: nombre de host genkey. La secuencia de comandos genkey muestra los nombres de archivo y las ubicaciones del archivo de clave y del archivo de CSR que va a crear:
    Archivo de clave: /usr/local/www/sslhostname.key  
   Archivo de CSR: /usr/local/www/sslhostname.cert  
    Nota: si ya dispone de una clave para su servidor, ejecute genreq [nombreservidor] para crear únicamente la CSR.
2. Pulse Intro. La secuencia de comandos genkey le pedirá que se asegure de no estar sobrescribiendo un par de claves y un certificado existentes.
3. Cuando se le indique, introduzca un tamaño de clave en bits. Se recomienda utilizar el mayor tamaño de clave disponible: 2048  bits.
4. Cuando se le indique, introduzca caracteres aleatorios. Deténgase cuando el contador se sitúe en cero y genkey emita un sonido. Estos datos aleatorios permiten crear un único par de clave pública y privada.
5. Cuando se le indique, introduzca y para crear el par de claves y la CSR.
6. Seleccione VeriSign como CA.
7. Introduzca toda la información solicitada y pulse Intro. Haga una copia de seguridad del archivo de claves y de la CSR en un disquete, CD o dispositivo extraíble y guárdelo en un lugar seguro. Si pierde su clave privada u olvida la contraseña, no podrá instalar el certificado SSL y tendrá que solicitar y comprar un nuevo certificado SSL de VeriSign.
8. Habrá creado el par de claves y la CSR. Para copiar y pegar la información en el formulario de subscripción, abra el archivo en un editor de texto que no añada caracteres adicionales (se recomienda el Bloc de notas o Vi).
9. Realice el enrolamiento.

Durante el proceso de verificación es posible que e-Sign VeriSign tenga que ponerse en contacto con su organización. Asegúrese de proporcionar una dirección de correo electrónico, un número de teléfono y número de fax que se comprobará de inmediato. Estos campos no forman parte del certificado.