¿Qué sucede si necesitamos instalar un certificado SSL para un servicio que no sea IIS y no hay ningún Administrador de IIS instalado en el servidor de Windows? ¿Cómo se puede generar un código CSR en esta situación?
Afortunadamente, existen algunas soluciones disponibles.
Además del hecho de que estas soluciones no proporcionarán una interfaz mágica y fácil de usar y requerirán un poco de familiaridad con las herramientas de administración del sistema, siguen siendo muy poderosas para lograr nuestro objetivo: crear un código CSR, que podemos enviar a la autoridad certificadora. durante el certificado.
Así que veamos cada uno de los métodos más de cerca.
Generación de CSR en MMC (Microsoft Management Console)
Abra el complemento Certificados en MMC siguiendo estos pasos: Win+R >> mmc.exe >> Aceptar >> Archivo >> Agregar o quitar complemento >> Certificados >> Agregar >> Cuenta de computadora >> Siguiente >> Computadora local >> Finalizar >> Aceptar.
En el panel Personal >> Certificados, haga clic derecho en el espacio en blanco y siga Todas las tareas >> Operaciones avanzadas >> Crear solicitud personalizada para abrir el asistente de inscripción de certificados:
Asegúrese de que la opción predeterminada Continuar sin política de inscripción esté seleccionada y haga clic en Siguiente:
En la siguiente pantalla, deje las opciones preseleccionadas (Sin plantilla) Clave CNG y PKCS#10 y haga clic en Siguiente:
Ahora necesitamos abrir la ventana, en la que ajustaremos la solicitud de certificado de manera que podamos recibir el certificado con la información correcta y utilizando el tipo de clave requerida. Haga clic en la flecha desplegable a la derecha y luego en el botón Propiedades.
Agregue un valor de nombre descriptivo al campo correspondiente para que pueda identificar esta entrada de solicitud en el futuro. Este campo se utiliza para darle un nombre al certificado, que puede ser el nombre de dominio para el que se emitirá el certificado o prácticamente cualquier otro nombre:
En la siguiente pestaña llamada Asunto, debemos agregar algunos campos a la solicitud y especificar sus valores. Los tipos de campos más esenciales que deben estar presentes en la solicitud son:
- Nombre común: nombre de dominio completo para el cual se emitirá el certificado.
- País: código de país de dos letras que cumple con . Se puede comprobar el código correcto.
- Estado: nombre del estado o región; puede ser el mismo que el nombre de la ciudad
- Localidad: nombre de la ciudad
- Organización: el nombre de la empresa debe especificarse aquí
NOTA: Si necesita agregar nombres alternativos de asunto a la solicitud, puede hacerlo en la sección Nombre alternativo. Seleccione el tipo de campo DNS y agregue los nombres de dominio uno por uno:
El resultado debería ser similar a este:
La última pestaña de esta ventana que debemos abrir y revisar es la Clave privada. Ampliemos la sección Proveedor de servicios criptográficos y echemos un vistazo. La opción predeterminada aquí es el algoritmo RSA, que es el estándar de la industria hoy en día, aunque puede optar por “” (si necesita emitir un certificado ECC) marcando una de las entradas en la imagen a continuación:
En la sección Opciones de clave, si se utiliza el algoritmo RSA, asegúrese de que el tamaño de clave esté configurado en al menos 2048 bits.
NOTA: Los certificados basados en una clave con un tamaño inferior a 2048 bits se consideran no seguros y las autoridades certificadoras de confianza ya no los emiten.
Si planea exportar el certificado, por ejemplo, para la instalación en otra instancia, es necesario marcar la opción Hacer exportable la clave privada:
Ahora podemos hacer clic en Aceptar y seguir adelante.
La última pantalla del asistente de inscripción de certificados requiere que especifiquemos el nombre del archivo en el que se guardará el código CSR y su ubicación en el sistema de archivos. Además, asegúrese de que el formato de archivo esté configurado en Base64. Luego haga clic en el botón Finalizar para iniciar la generación de clave privada y CSR con los atributos que acabamos de configurar:
Generación de CSR utilizando la utilidad Certreq
Certreq es la utilidad basada en línea de comandos, que se utiliza principalmente para crear y enviar solicitudes de certificados y recuperar, aceptar e instalar respuestas de las autoridades certificadoras.
Antes de comenzar a trabajar con “certreq”, necesitamos crear un archivo de política del cual se extraerá la información requerida para el CSR. Cree un nuevo archivo de texto normal y ábralo. Luego copie y pegue el texto de abajo en el archivo (seleccione el fragmento de código para RSA o ECDSA):
RSA
;—————– solicitud.inf —————–
Firma=”$Windows NT$”
Asunto = “C=EE.UU., O=, CN=example.com, L=Los Ángeles, S=California”
Especificación clave = 1
Longitud de clave = 2048
Exportable = VERDADERO
MachineKeySet = VERDADERO
SMIME = Falso
Archivo de clave privada = FALSO
Usuario protegido = FALSO
UseExistingKeySet = FALSO
ProviderName = “Proveedor criptográfico Microsoft RSA SChannel”
Tipo de proveedor = 12
Tipo de solicitud = PKCS10
Uso de clave = 0xa0
Algoritmo Hash = SHA256
OID=1.3.6.1.5.5.7.3.1
;———————————————–
ECDSA
;—————– solicitud.inf —————–
Firma=”$Windows NT$”
Asunto = “C=EE.UU., O=, CN=example.com, L=Los Ángeles, S=California”
Algoritmo clave = ECDSA_P384; se puede cambiar a 256 o 521
Exportable = VERDADERO
MachineKeySet = VERDADERO
SMIME = Falso
Archivo de clave privada = FALSO
Usuario protegido = FALSO
UseExistingKeySet = FALSO
ProviderName = “Proveedor de almacenamiento de claves de software de Microsoft”
Tipo de proveedor = 12
Tipo de solicitud = PKCS10
Uso de clave = 0xa0
Algoritmo Hash = SHA256
OID=1.3.6.1.5.5.7.3.1
;———————————————–
NOTA: Puede agregar el valor de la dirección de la calle al código CSR especificando la variable Calle en la directiva Asunto de la siguiente manera:
Asunto = “CN=example.com, C=US, O=, L=Los Ángeles, S=California, Calle= Test Avenue 1”
Asegúrese de cambiar los valores resaltados en negro con los valores que serían válidos para su solicitud. Luego guarde el archivo como tipo .inf (request.inf, por ejemplo):
Ahora podemos abrir la línea de comando: Win+R >> cmd >> Enter.
Navegue hasta la carpeta en la que se guarda el archivo de política usando el comando “cd”:
Centros para el Control y la Prevención de Enfermedades:\
Ejecute el siguiente comando para iniciar la generación de CSR:
certreq.exe -nueva solicitud.inf nctest.csr
Si el mensaje Solicitud creada aparece en respuesta al comando, el código CSR se crea y se guarda en el archivo .csr (nctest_ecdsa.csr en el ejemplo anterior).
Generación de RSE a través de Powershell
Si eres fanático de los scripts y estás acostumbrado a realizar ciertas tareas rutinarias en Powershell, definitivamente te gustará el siguiente script, diseñado para la generación CSR con una clave RSA de 2048 bits.
Abra la consola Powershell ejecutando:
Win+R >> powershell >> Entrar.
Luego use el comando para crear un nuevo archivo para el código del script:
iniciar el bloc de notas script_file_name.ps1
*Donde script_file_name.ps1 es el archivo de script y puede tener cualquier nombre adecuado.
En la ventana abierta del Bloc de notas, pegue el código completo y guarde el archivo presionando Ctrl+S o usando el menú Archivo >> Guardar como.
A continuación, ejecute el siguiente comando en su PowerShell:
.\script_file_name.ps1
*Donde script_file_name.ps1 es el nombre que utilizó para su archivo de script.
El mensaje, que de alguna manera se parece a OpenSSL, le pedirá que ingrese los valores de nombre común, organización, unidad organizativa, ciudad, estado y país.
NOTA: Cuando se le solicite que proporcione nombres alternativos de asunto, puede especificarlos si es necesario o simplemente omitir este paso presionando Enter.
Finalmente, la ventana de Powershell producirá el resumen de la información proporcionada, los detalles del algoritmo clave y hash y el código CSR, ofreciendo copiar el CSR al portapapeles de inmediato:
Cuando el código CSR se genera utilizando cualquiera de los métodos descritos anteriormente, puede continuar con el archivo .
Facebook Comments
Disqus