Dado que durante el envío del código CSR, estamos entregando una cierta cantidad de información valiosa a una autoridad certificadora (como nombre de dominio, clave pública, etc.), seguramente queremos que esta información se entregue sin cambios para que nuestro futuro certificado SSL tiene una clave pública válida.
Tamaños de clave
El tamaño de una clave criptográfica define su fortaleza contra diversos ataques. Sin profundizar demasiado en las bases matemáticas de la criptografía de clave pública, la lógica simple dice que cuanto más grande es la clave, más difícil es descifrarla. Por otro lado, las claves de enorme tamaño consumirán más potencia computacional durante las operaciones criptográficas y pueden ralentizar considerablemente el rendimiento del servidor.
Por lo tanto, la lista de tamaños de clave admitidos en los códigos CSR es la siguiente:
- Claves RSA: de 2048 a 8192 bits.
- Claves ECDSA:
- generado con curva P-256 – 256 bits
- generado con curva P-384 – 384 bits
Nota: Los algoritmos clave actualmente admitidos en nuestro sitio son solo RSA y ECDSA.
Algoritmos de firma
A ayuda a garantizar la integridad y autenticidad de un mensaje transmitido (el código CSR en nuestro caso). Se utiliza un algoritmo de firma para firmar un dato y calcular su hash con un determinado archivo . Luego, el mensaje se envía junto con el hash y el nombre del algoritmo de firma para que el destinatario pueda calcular y comparar el hash para asegurarse de que el mensaje no haya sido alterado durante la transmisión. El algoritmo de firma debe ser lo suficientemente robusto como para resistir posibles intentos de falsificación de datos.
Actualmente, la lista de algoritmos de firma admitidos es la siguiente:
- md5Concifrado RSA
- sha1ConCifrado RSA
- sha224ConCifrado RSA
- sha256ConCifrado RSA
- sha384ConCifrado RSA
- sha512ConCifrado RSA
- ecdsa-con-SHA1
- ecdsa-con-SHA224
- ecdsa-con-SHA256
- ecdsa-con-SHA384
Para evitar posibles problemas con la activación del certificado SSL, el código CSR debe cumplir con los criterios mencionados anteriormente.
Cómo generar el CSR correctamente
AbiertoSSL
La mayoría de las implementaciones modernas de OpenSSL utilizan tamaños de clave admitidos y algoritmos de firma durante la generación de claves privadas y CSR de forma predeterminada. Sin embargo, si queremos asegurarnos de que todo se hace correctamente o utilizar un tamaño de clave y un algoritmo de firma específicos, podemos agregar los parámetros correspondientes al comando OpenSSL.
Si la CSR y la clave privada se generan con un comando:
openssl req -new -newkey rsa: -nodes -keyout server.key -out server.csr –
Si generamos la clave privada y la CSR por separado:
openssl genrsa -out server.key
openssl req -new -key server.key -out server.csr –
debe reemplazarse con el tamaño de clave necesario en el rango entre 2048 y 8192.
debe reemplazarse con el nombre de la función hash admitida: md5, sha1, sha224, sha256, sha384 o sha512 (por ejemplo, -sha384).
Las claves ECDSA se generan con un determinado tipo de curva, que se especifica en el comando OpenSSL de la siguiente manera:
openssl ecparam -out server.key -nombre
aquí debe reemplazarse con el nombre de la curva en el formato que OpenSSL pueda reconocer:
- prime256v1 – para usar una curva P-256
- secp384r1 – para usar una curva P-384
Servidor de windows
Al igual que OpenSSL, las claves estándar y los algoritmos de firma en las versiones modernas de Windows Server son compatibles con los requisitos mencionados anteriormente. Sin embargo, si necesitamos modificar estos atributos, hay una manera de hacerlo.
Necesitaremos abrir el asistente Crear solicitud personalizada desde la interfaz MMC (Microsoft Management Console). La secuencia completa de pasos es la siguiente:
Win+R >> mmc.exe >> Aceptar >> Archivo >> Agregar o quitar complemento >> Certificados >> Agregar >> Cuenta de computadora >> Siguiente >> Computadora local >> Finalizar >> Aceptar >> Certificados >> Personal >> haga clic derecho en el espacio vacío >> Todas las tareas >> Operaciones avanzadas >> Crear solicitud personalizada.
Puede encontrar más información sobre la creación de códigos CSR personalizados en Windows.
Después de abrir las propiedades de inscripción del certificado, estará la pestaña Clave privada con las secciones llamadas Opciones de clave y Seleccionar algoritmo hash, donde podremos seleccionar el tamaño de clave requerido y el algoritmo hash respectivamente.
Facebook Comments
Disqus