Cree su propia autoridad de certificación (CA) en CentOS / RHEL
Una autoridad de certificación (CA) emite certificados digitales que certifican la propiedad de una clave pública por parte del sujeto designado del certificado. Los certificados de confianza se utilizan normalmente para realizar conexiones seguras a un servidor a través de Internet. Se requiere un certificado para evitar el caso de que una parte malintencionada que se encuentra en la ruta al servidor de destino finja ser el objetivo. Este escenario se conoce comúnmente como un ataque man-in-the-middle.
En general, las personas usan CA confiables en Internet, como VeriSign, pero hay casos en los que necesita su propia CA, como para agregar seguridad adicional a una intranet o VPN o tal vez no quiera pagar por una.
Instalar openssl
Primero, comenzaremos instalando la utilidad openssl, si está usando CentOS / Fedora / RHEL, puede hacerlo usando yum así:
# yum install openssl
Si está usando Ubuntu / Debian, puede usar apt-get así:
# apt-get install openssl
Creando su propia CA
Para crear su propia CA, puede usar el script que viene con el paquete openssl, para esto primero vaya a un directorio vacío y luego ejecute el script de esta manera:
Para CentOS / Fedora / RHEL
# /usr/share/ssl/misc/CA.pl -newca
Ubuntu / Debian
# /usr/lib/ssl/misc/CA.pl -newca
El script lo guiará a través de todos los pasos para crear su nueva CA, no importa mucho lo que ingrese en los campos y todas las entradas se explican por sí mismas.
El proceso completo se verá así:
Creando certificados
Ahora que tiene su propia autoridad de certificación (CA), puede crear certificados digitales para servidores en su LAN, para clientes VPN o para cualquier servicio que necesite utilizar con SSL. Eso significa que tienes que seguir dos pasos:
Primero deberá crear una clave privada y una solicitud de certificado:
# /usr/lib/ssl/misc/CA.pl -newreq
Se le harán las mismas preguntas que en la opción newca, como se muestra a continuación:
Ahora puede firmar ese certificado con su CA usando el siguiente comando:
# /usr/lib/ssl/misc/CA.pl -sign
Ahora puede usar este certificado para cualquier propósito que desee.