Objetivo

Para establecer una conexión segura y de confianza es necesario generar certificados que respalden la identidad del servidor. Estos certificados son generalmente emitidos por entidades certificadoras (Certificate Authority) independientes y de confianza reconocida. Sin embargo, para una utilización más casera y económica, es posible crear un certificado “auto-firmado”.

Instalación

root@server:~# apt install openssl ca-certificates

Generación de los certificados

La generación de un certificadoSSL requiere de los siguientes pasos: primero es generada una clave privada; en seguida ésta es usada para generar un pedido de certificación (Certificate Signing Request (CSR)). El pedido de certificación es entonces enviado a la entidad certificadora (Certificate Authority (CA)) que devuelve el certificado firmado. Es posible ahorrarse el último paso, generando un certificado auto-firmado (Self-signed Certificate).

Crear una carpeta de trabajo:

root@server:~# mkdir certs
root@server:~# cd certs
root@server:~/certs#

Clave privada

Generar una clave privada(Private Key):

root@server:~/certs# openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
..........+++
...........................................+++
e is 65537 (0x10001)
root@server:~/certs#

Esta clave debe ser almacenada con especial cuidado y sólo debe ser accesible por el usuario root:

root@server:~/certs# chmod 600 server.key

Pedido de certificación

Para generar un pedido de certificación (Certificate Signing Request), debe indicarse en el campo Common Name el nombre del servidor para el cual será generado el certificado. En caso de que un certificado sea requerido por varios servidores del mismo dominio, es posible usar la sintaxis *.fimaz.net:

root@server:~/certs# openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: MX
State or Province Name (full name) [Some-State]: Sinaloa
Locality Name (eg, city) []: Mazatlan
Organization Name (eg, company) [Internet Widgits Pty Ltd]: *.fimaz.net
Organizational Unit Name (eg, section) []:*.fimaz.net
Common Name (e.g. server FQDN or YOUR name) []:*.fimaz.net
Email Address []: dsantana@uas.edu.mx
 
Please enter the following `extra` attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Certificado auto-firmado

El pedido de certificación debería ser enviado a la entidad certificadora, que devolvería el certificado firmado. En este caso, será utilizado para crear un certificado (Self-Signed Certificate), válido por 365 días:

root@server:~/certs# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=MX/ST=Sinaloa/O=Mazatlan Lan/CN=*.fimaz.net
Getting Private key
Enter pass phrase for server.key:
root@server:~/certs#

El proceso de creación de los certificados concluyó. Al final, fueron generados los siguientes archivos:

ArchivoDescripción
server.keyLa llave privada
server.csrEl pedido de firma de certificación
server.crtEl certificado auto-firmado

El certificado auto-firmado es válido por 365 días, pero puede ser renovado en cualquier momento, al regenerar el certificado auto-firmado.

Instalación de la clave privada y del certificado auto-firmado

Para esto, debe copiarse las claves privadas en /etc/ssl/private y el certificado en /etc/ssl/certs:

root@server:~/certs# cp server.key /etc/ssl/private/
root@server:~/certs# cp server.crt /etc/ssl/certs/

Así, el certificado auto-firmado está listo para utilizarse.

Como se trata de un certificado auto-firmado, su utilización siempre dará origen a un aviso por parte de la aplicación cliente: