Instalar SSL es fácil con .
Para obtener su Certificado, necesita un código CSR.
Una CSR, o solicitud de firma de certificado, es un bloque de texto codificado que usted envía a una autoridad certificadora al solicitar un certificado SSL.
Por lo general, se genera en el servidor donde se instalará el Certificado y debe contener información sobre su sitio web y su negocio que luego se codificará en el Certificado.
Información RSE
Asegúrese de completar correctamente los detalles del código CSR. Esto debería acelerar el proceso de obtención del SSL. Además, el proceso de validación de los certificados SSL OV y EV requiere que los datos comerciales se introduzcan con precisión.
-
Nombre común (el nombre de dominio para el que se emitirá el Certificado)
Por ejemplo – ejemplo.com
¡Nota! Para los certificados, el nombre común debe representarse con un asterisco delante (por ejemplo, *.example.com).
-
País ()
País (C): el código de dos letras del país donde se encuentra la empresa o el solicitante (por ejemplo, GB para Gran Bretaña o EE. UU. para los Estados Unidos; puede verificar el código de su país).
-
Estado o Provincia)
Estado (S): el estado, condado o región en la que se encuentra la empresa o el solicitante (por ejemplo, California).
-
Localidad (o ciudad)
Localidad (L): la ciudad donde se encuentra la empresa o el solicitante (por ejemplo, Los Ángeles). Este parámetro no debe abreviarse.
-
Organización (el nombre de su empresa. No dude en poner “NA” aquí para)
Organización (O): el nombre registrado oficialmente de la organización que solicita un certificado (por ejemplo, Inc.). Para los certificados de organización y validación extendida, las autoridades de certificación verificarán la organización presentada. Para los SSL de validación de dominio, este campo no es crítico y los detalles no aparecerán en el certificado emitido; sin embargo, al menos debería rellenarse con “NA”.
-
Unidad organizativa (departamento. No dude en poner “NA” aquí para cualquiera)
Unidad organizativa (OU): el nombre del departamento o división dentro de la organización enviada (por ejemplo, soporte SSL).
-
Dirección de correo electrónico (ponga aquí una dirección de correo electrónico válida)
Dirección de correo electrónico: una dirección de correo electrónico de la empresa o del solicitante. Este campo es opcional.
¡Nota! Esta dirección de correo electrónico no se utilizará durante el proceso de verificación, a menos que se encuentre un error en alguno de los datos enviados. Sin embargo, este correo electrónico se considerará un contacto administrativo, a menos que lo cambie durante el proceso de activación. El SSL se emitirá a la dirección de correo electrónico de contacto del administrador una vez que se active.
-
Contraseña de verificación y nombre de empresa opcional: no utilice la contraseña de verificación y deje también vacío el campo Nombre de empresa opcional. Estos valores ahora están obsoletos y pueden causar problemas para obtener el certificado SSL.
Algoritmo clave
Generalmente, OpenSSL se utiliza para la generación de CSR en servidores web basados en Linux (Apache o Nginx). Por lo tanto, si el servidor web predeterminado está instalado, no debería haber problemas con el uso de OpenSSL, ya que está instalado de forma predeterminada en estos servidores web.
Ahora debe decidir qué algoritmo clave desea utilizar.
El algoritmo de clave RSA es el algoritmo más utilizado hoy en día. Haga clic para obtener más detalles.
El algoritmo de clave ECDSA es una tecnología moderna que se utiliza para la creación de certificados ECC. Los detalles son.
Configuración SSH
La CSR se generará en el lado del servidor, por lo que deberá conectarse a ella a través de SSH.
SSH, también conocido como Secure Shell o Secure Socket Shell, ofrece a los usuarios, especialmente a los administradores de sistemas, una forma segura de acceder a una computadora a través de una red no segura.
Para conectarse a su servidor a través de SSH, necesitará la dirección IP, el nombre de usuario, la contraseña y el cliente SSH (cualquiera servirá, por ejemplo: ZOC Terminal; PuTTY; OpenSSH; MobaXterm; SecureCRT) instalado.
La dirección IP, el nombre de usuario y la contraseña se pueden obtener de su proveedor de hosting.
Ubicación del archivo
Recomendamos crear una carpeta para almacenar de forma segura los archivos SSL. Esta carpeta también se puede utilizar para ejecutar los comandos para generar la CSR.
Cuando genera una CSR (archivo .csr), se generará una clave privada (archivo .key) al mismo tiempo. Es fundamental que no pierda la clave privada ya que no será posible obtener otra más adelante. Para la instalación es necesaria una clave privada que corresponde a un SSL. Si pierde la clave privada, deberá generar otra CSR y reiniciar todo el proceso.
No comparta su clave privada con nadie. Ésta es una mala práctica; debe permanecer privado en todo momento. Una de las razones clave es que la autoridad certificadora puede revocar un certificado si su clave privada se vio comprometida.
Puede crear una carpeta SSL en su directorio de inicio como opción alternativa. Utilice el siguiente comando para hacerlo:
mkdir ~/ssl
Luego, vaya a esa carpeta ejecutando:
CD ~/ssl
RSA
El algoritmo RSA es un algoritmo de criptografía asimétrica. Básicamente, esto significa que hay dos claves involucradas durante la comunicación, es decir, la clave pública y la clave privada. El algoritmo de clave RSA es el algoritmo más utilizado en seguridad digital. Puede consultar este artículo para obtener más información.
Puede ejecutar los siguientes comandos para generar la CSR. Recomendamos ejecutar este comando para evitar confusiones más adelante.
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
¡Nota! Para evitar confusiones, recomendamos reemplazar server.key y server.csr con el nombre de dominio real para el que se emitirá el certificado. Estos estarán subrayados en los comandos.
Por ejemplo:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain_tld.key -out yourdomain_tld.csr “
Cuando ejecute el comando, se le pedirá que ingrese los valores (nombre común (CN), localidad (L), estado (S), país (C), organización (O), unidad organizativa (OU), dirección de correo electrónico). en la terminal. Puede consultar esto para saber qué información se debe ingresar.
¡Advertencia! Si el comando falla, consulte esta sección.
La CSR no debe contener caracteres como '?', '@', '#', '$', '%', '^', '&' y '*' ya que causarán problemas. El único carácter no alfanumérico permitido es la barra invertida '\'.
Es posible generar una CSR con el siguiente comando:
openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr -subj “/C=GB/ST=Yorks/L=York/O=My Company Ltd./OU=IT/CN=ejemplo. com”
Deberá especificar los detalles en el propio comando. Puede consultar esto para conocer los detalles que deben incluirse.
Banderas adicionales en CSR RSA
Para generar un código CSR con el valor de la dirección de la calle incluido, agregue la herramienta 'Asunto' ('-subj') con los datos correspondientes al comando de la siguiente manera:
openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr -subj “/C=GB/ST=Yorks/L=York/O=My Company Ltd./OU=IT/CN=ejemplo. com/streetAddress=Ejemplo Avenida 1”
El comando con el código postal incluido en la dirección debería verse así:
openssl req -nodes -newkey rsa:2048 -keyout server.key -out server.csr -subj “/C=US/ST=Ejemplo/L=Ejemplo/O=Ejemplo Inc Ltd./OU=Ejemplo/CN=ejemplo. com/streetAddress=Ejemplo 1/postalCode=123456”
También es posible generar una CSR para un certificado SSL multidominio a través de una línea con todos los SAN (nombres alternativos de sujeto).
openssl req -new -addext “subjectAltName = DNS:additionaldomain1.com,DNS:www.additionaldomain2.com,DNS:www.additionaldomain3.com” -addext “certificatePolicies = 1.2.3.4” -newkey rsa:2048 -keyout -keyout server .key -nodes -out server.csr
ECC
Es necesario resolver el problema del logaritmo discreto de curva elíptica (ECDLP) para poder romper el , y hasta ahora no ha habido avances importantes para lograrlo. Por lo tanto, un certificado ECC proporciona una mejor solución de seguridad y es más difícil de romper utilizando los métodos habituales de “fuerza bruta” de los piratas informáticos.
Puede ejecutar los siguientes comandos para generar una CSR. Recomendamos ejecutar este comando para evitar confusiones en el futuro.
En la biblioteca criptográfica OpenSSL puede utilizar este algoritmo para la generación de código CSR utilizando los siguientes comandos:
openssl ecparam -genkey -name secp384r1 | openssl ec -out ecc.key
openssl req -new -key ecc.key -out ecc.csr
¡Nota! Deberá ejecutar el primer comando antes de ejecutar el segundo, ya que la CSR se basará en la clave generada por el primer comando. Por lo tanto, debes asegurarte de que el nombre del archivo coincida.
¡Advertencia! Si el comando falla, consulte la sección.
Ejemplo:
Tu corres:
openssl ecparam -genkey -name secp384r1 | openssl ec -out yourdomain.key
Entonces, el siguiente comando será:
openssl req -new -key tudominio.key -out ec.csr
¡Nota! Cuando ejecute el segundo comando, se le pedirá que ingrese los valores (Nombre común (CN), Localidad (L), Estado (S), País (C), Organización (O), Unidad organizativa (OU), Dirección de correo electrónico. ) inmediatamente en la terminal. Para obtener más información, consulte esto sobre qué información se debe ingresar.
¡Nota! La CSR no debe contener caracteres como '?', '@', '#', '$', '%', '^', '&' y '*' ya que causarán problemas. El único carácter no alfanumérico que se puede utilizar es la barra invertida '\'.
Banderas adicionales en CSR ECC
También es posible generar una CSR para un certificado SSL multidominio a través de una línea con todos los SAN (nombres alternativos de sujeto).
El comando se puede modificar con la extensión -addext san y -subj para crear una línea adecuada:
openssl req -new -nodes -newkey ec:<(openssl ecparam -name secp384r1) -keyout bare_ec.key -out bare_ec.csr -subj -addext
Después de generar la CSR
Una vez que haya generado su CSR, podrá utilizarla para activar su certificado SSL.
Para hacer esto, deberá copiar el código CSR. Haga esto ejecutando el comando:
es
Debería ver una lista de los archivos presentes en la carpeta actual.
Localiza el archivo con la extensión “.csr” y ábrelo con este comando:
nombre de archivo gato.csr
Aquí, “nombre de archivo” debe sustituirse por el nombre que especificó en el comando de generación de CSR.
El código CSR comenzará y terminará con las siguientes etiquetas que también deberán copiarse:
—–INICIAR SOLICITUD DE CERTIFICADO—–
—–FIN DE SOLICITUD DE CERTIFICADO—–
Posibles errores
Cuando ejecuta los comandos mencionados anteriormente, puede encontrar el…
Facebook Comments
Disqus