UNIVERSIDAD POLITECNICA SALESIANA INGENIERIA SISTEMAS APLICACIONES TELEMATICAS

NOMBRE: Estefana Hurtado FECHA: 16/11/2013 PRACTICA # 5

TEMA: Creacin y administracin de certificados de seguridad mediante

OpenSSL. OBJETIVO
Leer y entender el documento presentado. Probar las sentencias para crear certificados y una autoridad de certificacin presentadas en el documentos. Crear una autoridad de certificados. Firmar cinco certificados como autoridad.

RESUMEN
Leer el documento para entender el funcionamiento de Openssl y a continuacin se deber crear un certificado y adems se creara una autoridad de certificados para poder trabajar como autoridad y as firmar los certificados que se soliciten firmar.

DESARROLLO
Lo primero que se realizara es la creacin de un certificado ya sea con clave pblica o priva para este caso se creara una clave privada. Para ello se deber digitar el siguiente comando. openssl genrsa -des3 1024 > clave.key A continuacin se generara y pedir que se ingrese una contrasea. Cada vez que se utilice esta clave se requerir introducir la contrasea.

Para la creacin del certificado que va asegurar la identidad, para ello deberemos crear un certificado para que sea firmado por una autoridad de certificados con el siguiente comando. openssl req -new -key clave.key -out servidor.csr El fichero clave.key es la clave privada que se cre anteriormente, se solicitara la contrasea y a continuacin informacin adicional como el pas, provincia, pas, organizacin, nombre de la unidad, nombre del ordenador, direccin electrnica y dos campos adicionales que sern mejor dejarlos en blanco para evitar problemas cuando la autoridad de certificados desee firmar el certificado.

Si se desea crear un certificado autofirmado se deber poner el siguiente comando. openssl req -new -key clave.key -x509 -days 365 -out servidor.crt Al igual que en el caso anterior pedir la contrasea de la clave privada y la misma informacin.

Para la instalacin del certificado se deber copiar el fichero clave.key en la direccin /etc/pki/tls/private con el nombre de localhost.key y el certificado servidor.crt en la direccin /etc/pki.tls/certs con el nombre de localhost.crt. La creacin de la autoridad de certificado ser importante crear un directorio en la raz del administrador con el nombre CA dentro de este se crearan los siguientes directorios: certs, newcerts, crl, csr, private. Adems se crearan dos ficheros el uno de nombre serial que beber contener el valor 01 y el otro index.txt que deber estar vaco, este ser la base de datos.

Cada vez que se firme automticamente.

un

certificado estos

ficheros

sern actualizados

Una vez creados los directorios se proceder a editar el fichero de configuracin que es /etc/pki/openssl.cnf, a dicho fichero se lo copiara en la carpeta que se cre anteriormente.

Al archivo que se copi en el directorio CA se lo deber modificar en las siguientes secciones CA_default y req_distinguished_name. En la seccin CA_default se debera colocar lo siguiente:

En la seccin req_distinguished_name se deber colocar lo siguiente:

Una vez que se configuro el archivo, se creara el certificado de la autoridad de certificacin con el siguiente comando: openssl req -new -x509 -days 3650 -config ./CA/openssl.cnf -keyout ./CA/private/RoboticaKey.pem -out ./CA/RoboticaCA.pem

En esta ejecucin se pedir la contrasea as como el pas, provincia, pas, organizacin, nombre de la unidad, nombre del ordenador, direccin electrnica. Finalmente para ver los certificados solicitados para ser firmados revisar en el directorio /CA/csr/servidor.csr. Si se desea continuar con la solicitud se deber utilizar el siguiente comando. Openssl ca -config ./CA/openssl.cnf -in ./CA/csr/servidor.csr verbose

Al terminar de firmar los certificados correctamente se podr observar que los ficheros index.txt y serial se actualizaron automticamente.

CONCLUSIONES Se pudo comprobar que los certificados pueden ser creados ya sea con claves publicas p claves privadas, esto depender de la necesidad del que cree el certificado. Al crear la autoridad de certificacin se pudo verificar que la informacin que se ingresa al crear el certificado y al configurar el archivo .cnf es la misma. Se debe tener mucho en cuenta que los certificados pueden llegar a caducar y debern ser gestionados.