Generar un Certificate Signing Request (CSR) utilizado ApacheSSL mod_ssl – Apache

VeriSign recomienda que para mayor información tome contacto con el fabricante de la aplicación.

1. Genere un par de llaves

La utilidad openssl es utilizada para generar la llave y el CSR. Esta utilidad viene con el paquete OpenSSL y usualmente esta instalada en /usr/local/ssl/bin. Si la utilidad fue instalada en otro directorio, estas instrucciones deben ser modificadas en consecuencia.

Escriba el siguiente comando openssl genrsa –out www.mydomain.com.key 2048

Este comando genera una llave privada de 2048 bits y lo guarda en el archivo www.mydomain.com.key

Cuando se le solicite una frase secreta: ingrese una frase secreta y recuérdela, se recomienda que esta frase secreta sea escrita y guardada en un lugar seguro, esta frase secreta de utilizará para proteger la llave privada. La llave privada y el certificado son requeridos para establecer conexiones SSL.

2. Genere un CSR

Escriba el siguiente comando openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Este comando le solicitará que ingrese los siguientes atributos para el certificado:

State or Province: No abrevie el nombre del estado o provincial. Por ejemplo, Valparaíso, Region Metropolitana.

Localityor City: el campo localidad es el nombre de la ciudad. Por ejemplo, Santiago, Lima.

Country Name: utilice un código de 2 letras sin puntuación para el país. Por ejemplo CL, PE, US.

Company: si su compañía o departamento tiene un carácter especial como & o @, debe ingresar el nombre de la organización sin el carácter especial. Por ejemplo XY & Z Corporation debe ser ingresado como XY and Z Coporation.

OrganizationalUnit: este campo es opcional, pero suele ser utilizado por la organización para identificar el certificado. La Unidad Organizacional (OU) es el nombre del departamento o suborganización a cargo de generar la solicitud.

Common Name: el common name se compone de HOST + DOMINIO. Por ejemplo www.company.com o mail.company.com.

Los certificados Verisign solo pueden ser utilizados en los servidores con el common name que se especifica en el CSR. Por ejemplo un certificado para “dominio.com” recibirá una alerta si accede a un sitio www.dominio.com o seguro.dominio.com, porque www.dominio.com y seguro.dominio.com son diferentes de “dominio.com”.

No ingrese direcciones de email, la frase secreta o nombres opcionales de la compañía cuando genere el CSR.

En este momento usted ha creado un par de llaves publica/privada. La llave privada (www.mydomain.com.key) esta guardada en el servidor de maquina local y es utilizada para descifrar. La llave publica, CSR (certrequest.csr) se utilizará para solicititar el certificado.

Para copiar y pegar la información del CSR en el enrolamiento, usted debe abrir el archivo con un editor de texto (Notepad, Vi) y guardarlo como un archivo *.txt. No utilice Microsoft Word ya que puede adicionar caracteres ocultos que pueden alterar el contenido del CSR.

3. Respalde la llave privada

Se recomienda que la llave privada sea respaldada junto con la frase secreta. Una buena opción es crear una copia de este archivo en un diskette, cd, Pendrive o algún dispositivo de almacenamiento removible. Esta clave privada puede ser útil tenerla en caso de falla del servidor.

Durante el proceso de verificación es posible que e-Sign VeriSign tenga que ponerse en contacto con su organizaciónDurante el proceso de verificación, e-Sign debe ponerse en contacto con su organización. Asegúrese de entregar una dirección de correo electrónico, número de teléfono y número de fax correctos, estos datos se verificarán y no son parte del certificado.