Firmar certificados SSL con autoridades de certificación

www.altova.com Imprimir este apartado Página anterior Subir un nivel Página siguiente

Inicio >  Configurar el servidor > Configurar el cifrado SSL >

Firmar certificados SSL con autoridades de certificación

Antes de que pueda adquirir certificados SSL de una autoridad de certificación (CA) de confianza necesita una clave privada y una CSR (petición de firma de certificado). Debe almacenar la clave privada de forma segura y no revelársela a nadie; la autoridad de certificación pedirá la CSR durante el proceso de solicitud.

 

Puede crear la clave privada y la CSR usando una herramienta que ya exista en su sistema operativo (como Keychain Access en Mac o openssl en Linux) o con herramientas de terceros. El siguiente ejemplo usa el paquete de herramientas OpelSSL (https://www.openssl.org/). Observe que OpenSSL es una biblioteca de software libre, no una aplicación binaria compilada para una plataforma en concreto. Las instrucciones de compilación e instalación para OpenSSL varía para cada sistema operativo y no se incluyen en esta documentación. Es posible que ya exista OpenSSL para equipos Linux y Mac; de lo contrario puede instalarlo o actualizarlo desde la línea de comandos. Puede comprobar rápidamente si tiene instalado OpenSSL tecleando el siguiente comando (que también indica qué versión de OpenSSL está instalada):

 

openssl version

 

En Windows puede compilar archivos binarios desde el código fuente oficial de OpenSSL o, como alternativa, descargar una distribución binaria que incluya OpenSSL, como Cygwin (https://cygwin.com/).

 

 

Para obtener un certificado SSL firmado:

1.Cree una clave privada. El siguiente comando OpenSSL genera una clave llamada flowforce.key con un tamaño de 2048 bits (el nivel mínimo de cifrado aceptado por lo general por una autoridad de certificación).

 

openssl genrsa -out flowforce.key 2048

 

Nota

la clave privada debe estar en formato PEM (correo de privacidad mejorada). La extensión de los archivos PEM suele ser .pem, pero también puede ser .key, .cert, .cer, or .crt.
para que la clave privada se pueda usar en FlowForce no debe estar protegida por una contraseña.
la clave privada debe guardarse de forma segura.

 

2.Cree una Petición de firma de Certificado (CSR) para la clave privada que creó antes. Necesitará la CSR cuando adquiera su certificado SSL (véase el paso siguiente). El siguiente comando OpenSSL crea una CSR llamada myserver.csr para la clave myserver.csr:

 

openssl req -new -nodes -key flowforce.key -out myserver.csr

 

Cuando la aplicación lo solicite, introduzca información sobre su organización, por ejemplo:

 

Country Name (2 letter code) [AU]: AT

State or Province Name (full name) [Some-State]: .

Locality Name (eg, city) []: Vienna

Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Ltd

Organizational Unit Name (eg, section) []: IT

Common Name (eg, YOUR name) []: server.my.domain.com

Email Address []: test@example.org

 

Nota

para el campo Nombre común, asegúrese de que introduce el FQDN (nombre de dominio completo) del equipo anfitrión en el que se ejecuta FlowForce Server.
deje el campo de la contraseña de comprobación aleatoria cuando la aplicación la solicite.

 

3.Solicite el certificado a una autoridad de certificación. Durante el proceso de solicitud necesitará proporcionar la CSR. Para ello, abra myserver.csr en un editor de texto como Notepad, copie su contenido en el portapapeles y péguelo en el campo correspondiente del formulario de solicitud en línea.
4.Cuando la autoridad de certificación haya validado su empresa le proporcionarán el certificado y los llamados certificados intermedios. Copie y pegue el contenido de todos los certificados intermedios en un solo archivo, como se indica en el apartado Preparar certificados intermedios.

 

Resumen

Si ha seguido los pasos anteriores, ahora debe contar con estos certificados y esta clave:
 

flowforce.key: esta clave privada acompaña al certificado que usa FlowForce.
certificate.crt (la extensión de archivo puede variar): este es el certificado adquirido, que cifra la conexión entre un navegador y FlowForce Web Server o la conexión entre una aplicación cliente que se conecta a un servicio web expuesto por FlowForce Server.
intermediate.pem: este archivo incluye todos los certificados intermedios que haya recibido de la autoridad de certificación.

 

Ahora puede habilitar SSL para FlowForce Server, FlowForcer Web Server y para la conexión HTTP entre ellos, como se muestra a continuación:

 

Habilitar SSL para FlowForce Web Server
Habilitar SSL para FlowForce Server
Habilitar SSL entre FlowForce Web Server y FlowForce Server

© 2019 Altova GmbH