A CA (AC) Autoridad es una entidad responsable de emitir certificados digitales para verificar las identidades En Internet. Aunque las opciones públicas y públicas son una opción popular para verificar la identidad de los sitios web y otros servicios que se proporcionan al público en general, los CA privados generalmente se utilizan para grupos cerrados y servicios privados.

La creación de una certificación privada La autoridad le permitirá configurar, probar y ejecutar programas que requieren conexiones cifradas entre un cliente y un servidor. Con un aire acondicionado privado, puede emitir certificados para usuarios, servidores o programas y servicios individuales dentro de su infraestructura.

Algunos ejemplos de programas de Linux que utilizan sus propios ACS privados son OpenVPN y Puppet. También puede configurar su servidor web para usar los certificados emitidos por una AC privada para que coincida con los entornos de desarrollo y simulación a los servidores de producción que usan TLS para cifrar conexiones.

En esta guía, aprenderemos cómo configurar Una autoridad de certificación privada en un servidor de Debian 10 y cómo generar y firmar un certificado de prueba usando su nuevo AC. También aprenderá cómo importar el certificado de CA desde el servidor CA a la tienda de certificados en su sistema operativo para que pueda verificar la cadena de confianza entre los servidores de CA y remotos o los usuarios. Finalmente, aprenderá cómo revocar los certificados y distribuir una lista de revocación de certificados para asegurarse de que solo los usuarios y sistemas autorizados puedan usar los servicios que descansan en su AC.

Requisitos previos

a seguir Este tutorial, deberá tener acceso a un servidor Debian 10 para alojar su servicio OpenVPN. Tendrá que configurar un usuario no raíz con sudo antes de comenzar esta guía. Puede seguir nuestra Guía de configuración inicial de Debian Server 10 para configurar un usuario con los permisos apropiados. El tutorial conjunto también establecerá un firewall, se suponía que se mantendrá en su lugar a lo largo de esta guía.

Este servidor se llamará al servidor de AC en este tutorial.

ASEGURARSE QUE EL AC El servidor es un sistema independiente. Solo se utilizará para importar, firmar y revocar aplicaciones de certificados. No debe manejar otros servicios y, idealmente, estará desconectado o completamente cerrado cuando no trabaje activamente con su AC.

Nota: la última sección de este tutorial es opcional si desea saber más Sobre la firma y la revocación de certificados. Si elige seguir estos pasos de práctica, necesitará un segundo servidor de Debian 10 o también puede usar su propia computadora Linux local que se ejecuta en Debian o Ubuntu, o las distribuciones derivadas de uno u otro.

Paso 1 – Instalación de Easy-RSA

La primera tarea de este tutorial es instalar el conjunto de scripts easy-rsa en su servidor de CA. easy-rsa es una herramienta de gestión de la autoridad de certificación que usará para generar una clave privada y un certificado de raíz pública, que luego usará para firmar solicitudes de clientes y servidores que se basarán en su AC .

Conéctese a su servidor de CA como un usuario de sudo no root que creó durante los pasos de configuración inicial y ejecute lo siguiente:

  • sudo apt update
  • sudo apt install easy-rsa

Se le pedirá que descargue el paquete e instálelo. Presione y para confirmar que desea instalar el paquete.

En este punto, tiene todo lo que necesita, instalado y listo para usar fácilmente. En el siguiente paso, creará una infraestructura de clave pública, entonces comenzará a construir su autoridad de certificación.

Paso 2 – Preparación de un directorio de infraestructura de clave pública

Ahora que tiene Instalado easy-rsa, es hora de crear un esqueleto de la infraestructura de clave pública (ICP) en el servidor de CA. Asegúrese de que todavía esté conectado como un usuario no root y cree un directorio easy-rsa Asegúrese de no usar sudo para ejecutar uno de los siguientes comandos, ya que su usuario normal debe manejar y Interactuar con el AC sin privilegios altos.

  • mkdir ~/easy-rsa

Esto creará un nuevo directorio llamado easy-rsa en su carpeta base .Usaremos este directorio para crear enlaces simbólicos que apuntan a los archivos de paquetes easy-rsa que instalamos en el paso anterior. Estos archivos se encuentran en la carpeta /usr/share/easy-rsa en el servidor de CA.

Crear los enlaces simbólicos (SymLinks) con el comando ln:

  • ln -s /usr/share/easy-rsa/* ~/easy-rsa/

NOTA: Mientras que otras guías pueden pedirle que copie los archivos del paquete easy-rsa en su Directorio de ICP, este tutorial adopta un enfoque de enlace simbólico. Por lo tanto, cualquier actualización del paquete easy-rsa se reflejará automáticamente en los scripts de su ICP.

Para restringir el acceso a su nuevo directorio. ICP, HACER Seguro que solo el propietario puede acceder a él usando el comando chmod:

  • chmod 700 /home/sammy/easy-rsa

Finalmente, inicialice la ICP en el :

  • cd ~/easy-rsa
  • ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests.Your newly created PKI dir is: /home/sammy/easy-rsa/pki

Después de completar esta sección, Tiene un directorio que contiene todos los archivos necesarios para crear una autoridad de certificación. En la siguiente sección, creará la clave privada y el certificado público para su AC.

Paso 3 – Creación de una autoridad de certificación

Antes de poder crear la clave y la privada Certificado de su CA, debe crear y alimentar un archivo llamado vars con algunos valores predeterminados. En primer lugar, usted va cd en el directorio easy-rsa, luego creará y modificará el archivo vars con nano o su editor de texto favorito:

  • cd ~/easy-rsa
  • nano vars

Una vez que el archivo está abierto, pegue el Tras las líneas y modifique cada valor resaltado para reflejar la información de su propia organización. Lo importante aquí es tener cuidado de no dejar ninguno de los valores en blanco:

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US"set_var EASYRSA_REQ_PROVINCE "NewYork"set_var EASYRSA_REQ_CITY "New York City"set_var EASYRSA_REQ_ORG "DigitalOcean"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Community"set_var EASYRSA_ALGO "ec"set_var EASYRSA_DIGEST "sha512"

Cuando termine, guarde y cierre el archivo. Si usa nano, puede hacerlo presionando CTRL+XY y ENTER (entrada) para confirmar. Ahora está listo para construir su CA.

Para crear el par de claves de raíz pública y privada para su autoridad de certificación, ejecute nuevamente el comando IV ID = «8FB9B222B», , esta vez con build-ca:

  • ./easyrsa build-ca

En la salida, verá algunas líneas en la versión OpenSSL y se le solicitará para ingresar una frase de contraseña para su par de llaves. Asegúrese de elegir una frase de contraseña sólida y escribirla en un lugar seguro. Deberá ingresar la frase de contraseña cada vez que necesitará interactuar con su CA, por ejemplo, firmar o revocar un certificado.

También se le pedirá que confirme el nombre común (CN) de su AC . El nombre común es el nombre utilizado para designar esta máquina en el contexto de la Autoridad de Certificación. Puede ingresar cualquier cadena para el nombre común de la CA, pero, por el bien de la simplicidad, presione ENTER para aceptar el nombre predeterminado.

Output
. . .Enter New CA Key Passphrase:Re-Enter New CA Key Passphrase:. . .Common Name (eg: your user, host, or server name) :CA creation complete and you may now import and sign cert requests.Your new CA certificate file for publishing is at:/home/sammy/easy-rsa/pki/ca.crt

NOTA: Si No desea que se solicite una contraseña cada vez que interactúe con su CA, puede ejecutar el comando build-ca con nopass, como este :

  • ./easyrsa build-ca nopass

Ahora tiene dos archivos importantes – y ~/easy-rsa/pki/private/ca.key – que constituyen los componentes públicos y privados de una autoridad de certificación.

  • ca.crt es el archivo de certificado público de la ca. Los usuarios, los servidores y los clientes utilizarán este certificado para verificar que forman parte de la misma red de confianza. Cada usuario y servidor que usan su CA tendrá que tener una copia de este archivo. Todas las partes se basarán en el certificado público para garantizar que una persona no va a un sistema y no realice un ataque de hombre en el medio.

  • ca.key es la clave privada que utiliza la CA para firmar las teclas y certificados de servidores y clientes. Si un intruso accede a su CA y, a su vez, a su archivo , tendrá que destruir su AC. Es por eso que su archivo debe estar en su máquina de CA y su máquina de CA debe mantenerse fuera de línea cuando no firme las solicitudes de certificado, para medir la seguridad adicional.

Con esto, su CA está en su lugar y está listo para ser utilizado para firmar las solicitudes de certificado y para revocar los certificados.

Paso 4 – Distribuir El Certificado Público de su CA

Su CA ahora está configurado y listo para actuar como una raíz de confianza para todos los sistemas que desea configurar para usarlo. Puede agregar el certificado CA a sus servidores OpenVPN, servidores web, servidores de correo electrónico, etc. Cualquier usuario o servidor que debe verificar la identidad de otro usuario o servidor en su red debe tener una copia del archivo ca.crt importado en el almacén de certificados de su sistema operativo.

Para importar el certificado de CA desde la CA a un segundo sistema Linux como otro servidor o computadora local, primero obtenga una copia del archivo su servidor de CA. Puede usar el comando cat para sacarlo en un terminal, luego cópielo y péguelo en un archivo en la segunda computadora que importa el certificado. También puede usar herramientas como scp para transferir el archivo entre los sistemas. Sin embargo, usaremos una pasta de copia con nano en este paso porque funciona en todos los sistemas.

Como usuario no root en el servidor de CA, ejecute El siguiente comando:

Habrá una salida en su terminal que se verá como lo siguiente:

Output
-----BEGIN CERTIFICATE-----MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQELBQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw. . .. . .-----END CERTIFICATE-----

Copiar todo, incluidas las líneas -----BEGIN CERTIFICATE----- y – -----END CERTIFICATE----- y los guiones.

En su segundo sistema Linux, use nano o su editor de texto favorito para abrir un archivo llamado /tmp/ca.crt:

  • nano /tmp/ca.crt

Pegue el contenido que acaba de copiar en el servidor de CA en el editor. Cuando termine, guarde y cierre el archivo. Si usa nano, puede hacerlo presionando CTRL+XY y ENTER (entrada) para confirmar.

Ahora que tiene una copia del archivo ca.crt en su segundo sistema Linux , es hora de importar el certificado en la tienda de certificados de su sistema operativo.

en sistemas basados en Debian y Ubuntu, ejecute los siguientes comandos para importar el certificado:

Debian y Ubuntu Distribuciones derivadas
  • cp /tmp/ca.crt /usr/local/share/ca-certificates/
  • update-ca-certificates

Para importar el certificado del servidor de AC en un sistema basado en CentOS, Fedora o Redhat, copie y pegue los contenidos del archivo en el sistema como en el ejemplo anterior en un archivo llamado /tmp/ca.crt. Luego, copiará el certificado en /etc/pki/ca-trust/source/anchors/, entonces ejecutará el comando update-ca-trust.

centos, Fedora, Distribuciones de RedHat
  • sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  • update-ca-trust

Su segundo sistema Linux ahora confiará en cualquier certificado que haya sido firmado por el servidor de CA.

NOTA: Si usted Use su CA con servidores web y si usa el navegador Firefox, deberá importar directamente el certificado ca.crt público en Firefox. Firefox no utiliza el almacén de certificados del sistema operativo local. Para obtener más detalles sobre cómo agregar su certificado de CA a Firefox, consulte este elemento de Mozilla en la configuración de CA (AC) en Firefox.

Si usa su AC para integrar un entorno de Windows o computadoras de escritorio , consulte la documentación sobre cómo usarlo certutil.exe para instalar un certificado de CA.

Si usa este tutorial como un requisito previo para otro tutorial, O si sabe cómo firmar y revocar los certificados, puede detenerse aquí. Si desea saber más sobre cómo firmar y revocar los certificados, la siguiente sección opcional explicará cada proceso en detalle.

(opcional) – Creación de solicitudes de firma de certificado y revocación de certificados

Las siguientes secciones del tutorial son opcionales. Si ha realizado todos los pasos anteriores, tiene una autoridad de certificación operativa y totalmente configurada que puede usar como requisito previo para otros tutoriales. Puede importar el archivo ca.crt de su CA y verifique su red los certificados que han sido firmados por su CA.

Si desea entrenar y aprender más sobre cómo firmar las solicitudes de certificado y cómo revocar los certificados, estas secciones opcionales explicarán cómo funcionan los dos procesos.

(opcional) – Creación y la firma de una solicitud de certificado de práctica

Ahora que tiene un AC listo para usar, puede entrenar para generar una clave privada y una solicitud de certificado para familiarizarse con el proceso de firma y distribución.

Una solicitud de firma de certificado (CSR) consta de tres partes: una clave pública, credenciales al sistema que requiere y se muestra una firma de la solicitud en sí, que se crea utilizando la clave privada de la parte solicitante. La clave privada se mantendrá en secreto y se utilizará para cuantificar la información que cualquier persona con el certificado público firmado puede descifrar.

Los siguientes pasos se ejecutarán en su segundo sistema Debian Linux, Ubuntu o una distribución Derivado de uno de estos sistemas. Puede ser otro servidor remoto, o una máquina local de Linux como una computadora portátil o computadora de escritorio. Como easy-rsa no está disponible de forma predeterminada en todos los sistemas, usaremos la herramienta openssl para crear una clave privada y un certificado de práctica.

generalmente se instala de forma predeterminada en la mayoría de las distribuciones de Linux, pero solo para estar seguro, ejecute lo siguiente en su sistema

  • sudo apt update
  • sudo apt install openssl

Cuando se le solicita que se instale openssl, ingrese y para continuar los pasos de instalación. Ahora está listo para crear una práctica de RSE con .

El primer paso que necesita seguir para crear una CSR es la generación de una clave privada. Para crear una clave privada usando openssl, cree un directorio «practice-csr» y luego genemos una clave dentro de ella. Haremos esta consulta para Un servidor ficticio llamado sammy-server, en lugar de la creación de un certificado que se usa para identificar a un usuario u otro ac.

  • mkdir ~/practice-csr
  • cd ~/practice-csr
  • openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes). . .. . .e is 65537 (0x010001)

Ahora que tiene una clave privada, puede crear una CSR correspondiente, nuevamente usando el . usted Se le invitará a llenar varios campos como país, estado y ciudad. Puede ingresar a un si desea dejar un campo vacío, pero tenga en cuenta que si es un verdadero CSR, es mejor usar los valores correctos de su ubicación y su organización:

  • openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . .-----Country Name (2 letter code) :USState or Province Name (full name) :New YorkLocality Name (eg, city) :New York CityOrganization Name (eg, company) :DigitalOceanOrganizational Unit Name (eg, section) :CommunityCommon Name (eg, your name or your server's hostname) :sammy-serverEmail Address :Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password :An optional company name :

Si quieres agregar Automati Estos valores como parte de la invocación en lugar de a través de la solicitud interactiva, puede pasar el argumento -subj a OpenSSL. Asegúrate de cambiar los valores resaltados para que coincidan con su lugar de práctica, su organización y en nombre de su servidor:

  • openssl req -new -key sammy-server.key -out server.req -subj \
  • /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

para verificar el contenido de un CSR, puede jugar en un archivo de consulta con openssl y examinar los campos dentro

  • openssl req -in sammy-server.req -noout -subject
Output
subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

Una vez que esté satisfecho con el objeto de su solicitud de certificado, copie el archivo sammy-server.req en su servidor de CA usando scp

Durante este paso, ha generado una solicitud de firma de certificado para un servidor ficticio llamado sammy-server. En un escenario real, la solicitud puede provenir de un servidor web de desarrollo o simulación que necesita un certificado de TLS para pruebas, o un servidor OpenVPN que requiera un certificado para que los usuarios puedan conectarse a una VPN. Durante el siguiente paso, pasaremos a la firma de la solicitud de firma de certificado utilizando la clave privada del servidor de CA.

(opcional) – Firma de un CSR

en el anterior Paso, ha creado una solicitud de certificado de práctica y una clave para un servidor ficticio. Usted lo copió en el directorio de su servidor de AC, emulando el proceso que usaría si tuvo clientes reales o servidores que le envíen solicitudes de CSR que deben estar firmadas.

Continuando con el escenario ficticio, el servidor de CA ahora debe importar el certificado de práctica y firmarlo.Una vez que una solicitud de certificado está valida por la CA y la transmisión a un servidor, los clientes que confíen en la Autoridad de Certificación también podrán confiar en el certificado recién emitido.

A medida que operaremos. Dentro de la ICP de la CA donde la utilidad easy-rsa está disponible, los pasos de la firma utilizarán la utilidad easy-rsa para facilitar las cosas, en lugar de usar directamente Como lo hicimos en el ejemplo anterior.

El primer paso para firmar la CSR ficticia es importar la solicitud de certificado utilizando el script easy-rsa

  • cd ~/easy-rsa
  • ./easyrsa import-req /tmp/sammy-server.req sammy-server

Output
. . .The request has been successfully imported with a short name of: sammy-serverYou may now use this name to perform signing operations on this request.

Ahora puede firmar la solicitud ejecutando el script easyrsa con el sign-req seguido del tipo de consulta y el nombre común que se incluye en la CSR. El tipo de consulta puede ser clientserver, o ca. A medida que entrenamos con un certificado para un servidor ficticio, asegúrese de usar el tipo de consulta de serveur:

  • ./easyrsa sign-req server sammy-server

En la salida, se le pedirá que verifique que la consulta proviene de una fuente confiable. Tipo luego presione ENTER para confirmar:

Output
You are about to sign the following certificate.Please check over the details shown below for accuracy. Note that this requesthas not been cryptographically verified. Please be sure it came from a trustedsource or that you have verified the request checksum with the sender.Request subject, to be signed as a server certificate for 3650 days:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Confirm request details: yes. . .Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

Si Usted ha encriptado su clave de CA, se le pedirá su contraseña en este punto.

Una vez que se completen estos pasos, ha firmado el CSR sammy-server.req en el uso La clave privada del servidor de CA en . El archivo » resultante contiene la clave de cifrado pública del servidor de práctica, así como una nueva firma del servidor de CA. El propósito de la firma es decirle a cualquiera que confíe en la CA que también puede confiar en el certificado del servidor de práctica sammy-server

Si esta consulta se relaciona con un servidor real Como un servidor web o un servidor VPN, el último paso en el servidor de CA sería distribuir los archivos nuevos y ca.crt de la Servidor de AC al servidor remoto que realizó la consulta de CSR:

En este punto, debería poder usar el certificado emitido con algo así como una web Servidor, VPN, una herramienta de administración de configuración, un sistema de base de datos o con fines de autenticación del cliente.

(opcional) – Revocación de un certificado

Es posible que tenga que revocar un certificado para evitar que un usuario o un servidor lo usen. La computadora portátil de alguien fue robada, un servidor web se ha comprometido, o un empleado o contratista dejó su organización.

Para revocar un certificado, el procedimiento general sigue los siguientes pasos:

  1. revocar el certificado con el comando ./easyrsa revoke client_name
  2. generar un nuevo LRC con el comando ./easyrsa gen-crl
  3. Transfiere el archivo crl.pem actualizado al servidor o servidores que dependen de su CA, y en estos sistemas, copie el archivo en el (los) directorio (s) requerido para los programas que Consulte.
  4. Reinicie todos los servicios que usan su archivo CA y LRC.

Puede usar este proceso para revocar en cualquier momento los certificados que ha emitido previamente. . Entraremos en detalle cada paso en las siguientes secciones, comenzando con el comando revoke

revocar un certificado

para revocar un certificado, Navegue hasta el directorio easy-rsa en su servidor de CA:

  • cd ~/easy-rsa

Siguiente, inicie el script easyrsa con la opción revoke, seguido del nombre del cliente que desea revocar: Siguiendo el ejemplo de la práctica anterior, el nombre común del certificado es sammy-server:

  • ./easyrsa revoke sammy-server

Se le pedirá que confirme la revocación ingresando yes :

Output
Please confirm you wish to revoke the certificate with the following subject:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Continue with revocation: yes. . .Revoking Certificate 8348B3F146A765581946040D5C4D590A. . .

NOTA El valor resaltado en la línea Revoking Certificate Este valor es el número de serie único del certificado que está siendo renovado. Si desea revisar la lista de revocaciones en el último paso en esta sección para verificar que el certificado está ahí, necesitará este valor.

Después de confirmar la acción, la CA revocará el certificado. Sin embargo, los sistemas remotos que dependen de la CA no tienen forma de verificar si los certificados han sido revocados.Los usuarios y servidores siempre podrán usar el certificado hasta que la lista de certificados revocados de CA (LCR) se distribuya a todos los sistemas que dependen de AC.

En el siguiente paso, generará un LCR o actualización A .

Generar una lista de revocación de certificado

Ahora si ha revocado un certificado, es importante actualizar la lista de Certificados revocados en su servidor de CA. Una vez que haya actualizado la lista de revocaciones, podrá conocer a qué usuarios y qué sistemas tienen certificados válidos en su CA.

para generar un LRC, ejecute el easy-rsa con la opción gen-crl mientras que permanece en el directorio ~/easy-rsa:

  • ./easyrsa gen-crl

Si ha usado una frase de contraseña al crear su archivo , se le pedirá que ingrese. El comando gen-crl generará un archivo llamado crl.pem, que contiene la lista actualizada de certificados revocados para este AC.

Luego, deberá transferir el archivo crl.pem a todos los servidores y clientes que dependen de esta CA cada vez que ejecute el comando gen-crl. De lo contrario, los clientes y los sistemas siempre podrán acceder a los servicios y sistemas que usan su CA, ya que estos servicios deben conocer el estado de revocación del certificado.

Transferir una lista de revocación de certificado

Ahora Que ha generado un LCR en el servidor de su CA, debe transferirlo a sistemas remotos que dependen de su AC. Para transferir este archivo a sus servidores, puede usar el comando scp.

NOTA: Este tutorial explica cómo generar y distribuir manualmente un LCR. Aunque existen métodos más fuertes y automatizados para distribuir y verificar las listas de revocación, como el grapado de OCSP, la configuración de estos métodos excede de este artículo.

Asegúrese de que esté conectado a su servidor de CA como un Usuario no root y realice las siguientes operaciones, sustituyendo el nombre IP o DNS de su propio servidor en lugar de :

Ahora que el archivo está en el sistema remoto, el último paso es actualizar todos los servicios con la nueva copia de la lista de revocación.

Actualización de servicios que admiten un LCR

La enumeración de los pasos para actualizar los servicios que usan el archivo crl.pem excede el alcance de este tutorial. En general, deberá copiar el archivo crl.pem en la ubicación proporcionada por el servicio, y luego reiniciarlo usando .

Una vez que haya actualizado sus servicios con el nuevo archivo crl.pem, sus servicios podrán rechazar conexiones o servidores de clientes que usen un certificado revocado.

Revisión y verificación del contenido de un LCR

Si desea examinar un archivo CRL, por ejemplo, para confirmar una lista de certificados revocados, use el comando Siguiente de su directorio easy-rsa en su servidor de CA:

  • cd ~/easy-rsa
  • openssl crl -in pki/crl.pem -noout -text

También puede ejecutar este comando en cualquier Servidor o sistema que tiene la herramienta openssl instalada con una copia del archivo crl.pem. Por ejemplo, si ha transferido el archivo crl.pem a su segundo sistema y desea verificar que el certificado de sammy-server es revocado, puede Use un comando como lo siguiente, al introducir el número de serie que ha señalado anteriormente cuando ha revocado el certificado en lugar del número resaltado aquí:

  • openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

AVISO Cómo se usa el comando para verificar el número de serie único que notó en el Paso de revocación. Ahora puede verificar los contenidos de su lista de revocaciones de certificado en cualquier sistema que se base en él para restringir el acceso a los usuarios y servicios.

Conclusión

En este tutorial, ha creado un privado Autoridad de certificación utilizando el paquete Easy-RSA en un servidor de Debian independiente. Aprendió cómo funciona el modelo de confianza entre las partes que confían en la autoridad de certificación.También ha creado y firmado una solicitud de firma de certificado (CSR) para un servidor de práctica y luego aprendió a revocar un certificado. Finalmente, aprendió a generar y distribuir una lista de revocación de certificados (RCP) para cualquier sistema que depende de su CA para garantizar que los usuarios o servidores que no sean accedan a los servicios se evitan.

ahora puede Entregue certificados para usuarios y utilícelos con servicios como OpenVPN. También puede usar su CA para configurar los servidores web de desarrollo y simulación con certificados para asegurar sus entornos de no producción. El uso de CA con certificados TLS durante el desarrollo puede ayudar a garantizar que su código y entornos sean lo más posible para su entorno de producción.

Si desea saber más sobre el uso de OpenSSL, visite nuestra página de principios esenciales de OpenSSL : Trabajar con certificados SSL, las claves privadas y las CSR contienen mucha información adicional para ayudarlo a familiarizarse con los principios fundamentales de OpenSSL. P.>

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *