Certificado digital; CSR ampOpenSSL
¿Por qué tengo que crear una solicitud de certificado (CSR) a partir de una clave privada?
¿Qué es un archivo CSR?
Pautas para generar un Archivo de Solicitud de Certificado SSL (CSR)
¿Qué es un CSR? ¿Qué son las claves públicas y privadas?
¿Dónde se encuentra la clave pública en el CSR?
¿Qué son openssl, x509, crt, cer, key, csr, ssl, tls?
Cómo crear un archivo .pem para la instalación del certificado SSL
OpenSSL genera una CA de certificado raíz y emite subcertificados.
Solicitud de firma de certificado CSR, es decir, el solicitante solicita un certificado de firma digital enviando una clave pública a la autoridad certificadora CA. El archivo enviado se llama archivo CSR.
En un sistema de Infraestructura de Clave Pública (PKI), una Solicitud de Firma de Certificado (también conocida como CSR o Solicitud de Certificación) es un mensaje enviado por un solicitante a la autoridad de registro de la Infraestructura de Clave Pública para solicitar un Certificado de identidad digital.
Con un certificado de firma digital podemos demostrar que somos dignos de confianza y la CA lo avalará.
Para solicitar un certificado de datos de la CA, el solicitante primero debe generar un par de claves públicas y privadas. El solicitante conserva la clave privada y luego envía la clave pública y la información del solicitante a la CA. La CA emite un certificado digital a través de esta clave pública y la información del solicitante.
Un archivo CSR es un archivo de datos que contiene la clave pública y la información del solicitante. El solicitante genera este archivo CSR y lo envía a la CA, que emitirá un certificado digital basado en el contenido del archivo CSR.
Hay muchas formas de generar archivos CSR y OpenSSL se utiliza comúnmente.
La CSR también se puede generar en línea a través de CA (no recomendado porque el par de claves es público).
Utilizando el algoritmo RSA, la clave privada se envía al archivo private.key.
Utilice la clave privada private.key para generar el archivo CSR server.csr.
Debes rellenar aquí los datos del solicitante. Cabe señalar que el nombre común aquí debe completarse como el nombre de dominio o el nombre de host utilizando el certificado SSL (es decir, el protocolo HTTPS); de lo contrario, el navegador lo considerará inseguro. Por ejemplo, si planea usar /xxx en el futuro, complete aquí dummy.example.com.
Después de completar los dos pasos anteriores, la clave pública aparecerá tanto en el archivo server.csr como en el private.key.
Enviamos el fichero CSR a la CA para solicitar un certificado. Después de que la CA haya verificado la identidad del solicitante, utilizamos la clave privada de la CA para firmar y generar un certificado.
El flujo de trabajo del algoritmo de firma de CA es aproximadamente el siguiente: generalmente, un valor hash se obtiene aplicando hash a la información. Este valor hash es irreversible, es decir, el contenido de la información original no puede pasar el valor hash. Espero que valga la pena. Al enviar un mensaje, este hash se cifra con la clave privada de la CA y se envía como firma junto con el mensaje.
La CA tiene su propio archivo crt de certificado, y una CA de nivel superior le emite el propio certificado de esta CA (que demuestra que es confiable).
Una vez que el solicitante recibe el archivo del certificado, convertirá los archivos de clave pública y privada del certificado en archivos en el formato correspondiente al servidor y los implementará en el servidor HTTP, para que nuestro sitio web pueda ser confiable.
En el futuro, cualquiera obtendrá este certificado del servidor en lugar de la clave pública. Debe obtener la clave pública de la CA (la autoridad emisora del certificado) para descifrar la firma del certificado. Si el descifrado se realiza correctamente y los hashes coinciden, significa que no hay ningún problema con la clave pública adjunta al certificado.
Vulnerabilidad de Heartbleed en OpenSSL