Autoridad de Certificación con OpenSSL

Publicado el 13 enero 2022 por Alejsanc @cdrninformatica

Los certificados digitales usados por los servidores o usuarios deben estar firmados por una Autoridad de Certificación, en inglés Certificate Authority, comúnmente abreviado como CA. Existen muchas autoridades de certificación a las que podemos solicitar un certificado o también podemos crear nuestra propia autoridad para gestionar nosotros mismos los certificados. Utilizar nuestra propia CA tiene la desventaja de que no podremos gestionar adecuadamente la revocación de certificados en navegadores web, ya que estos han dejado o están en proceso de dejar de usar listas de revocación de certificados o servidores OCSP. En su lugar utilizan sus propios sistemas centralizados para que el proceso de validación de certificados sea más rápido y seguro.

Aún teniendo en cuenta la limitación de la revocación de certificados en navegadores, el crear nuestra propia CA nos puede ser útil en determinadas circunstancias, sobre todo para uso interno y software distinto a los navegadores. Crear nuestra propia CA también nos puede servir como ejercicio para comprender mejor el funcionamiento de los certificados digitales. A continuación voy a explicar como crear una CA con OpenSSL y firmar certificados para servidores y usuarios.

Si aún no lo tenemos instalado debemos instalar OpenSSL. Por seguridad es recomendable utilizar para la CA un ordenador que no usemos para otra cosa. Para aumentar más la seguridad lo podemos tener desconectado de la red.

# apt-get install openssl

Seguidamente debemos crear un directorio donde guardar los archivos de la CA. Por seguridad solo el usuario encargado de controlar la CA debe tener permisos en este directorio.

# mkdir /etc/ssl/ca -m 700

Una vez creado el directorio de la CA debemos crear dos subdirectorios para guardar los certificados y la clave privada de la CA.

# cd /etc/ssl/ca
# mkdir private newcerts

En el directorio de la CA es necesario crear también un archivo index.txt donde se mantendrá una lista de los certificados y un archivo serial donde se indica el número de serie del siguiente certificado.

# touch index.txt
# echo "01" > serial

En el archivo de configuración /etc/ssl/openssl.cnf hay que indicar la ruta del directorio creado. En este archivo también se configuran las características por defecto de los certificados y claves que crea openssl. Con el parámetro default_days podemos configurar el tiempo de validez de los certificados, no es recomendable que sea más de un año. El parámetro default_bits indica el tamaño por defecto de las claves privadas creadas durante una petición de certificado. Los parámetros se agrupan en secciones que comienzan con un nombre entre corchetes.

[ CA_default ]

dir = /etc/ssl/ca
default_days = 365

[ req ]

default_bits = 2048

Después de crear el directorio y modificar la configuración podemos crear la clave privada y el certificado de la CA. Con el parámetro -keyout podemos indicar el archivo de la clave privada y con el parámetro -out el archivo del certificado. El tamaño de la clave será el indicado en el parámetro de configuración default_bits. El parámetro -utf8 hace que se utilice codificación UTF-8 para poder usar caracteres no ASCII. El programa nos pedirá una contraseña para proteger la clave privada.

openssl req -new -x509 -days 3650 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -utf8

Generating a RSA private key
...+++++
......................................+++++
writing new private key to 'private/cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:Madrid
Locality Name (eg, city) []:Madrid
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cuaderno Informática
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Cuaderno Informática CA
Email Address []:ca-admin@cuadernoinformatica.com

Al terminar la creación del certificado y clave privada podemos ver la información del certificado con el comando openssl. Primero se muestra una descripción del certificado y al final el propio certificado entre las etiquetas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

# openssl x509 -in cacert.pem -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            24:d1:83:43:c8:2a:54:e6:00:b7:ec:3a:6f:7c:a7:3b:a7:77:f4:58
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = ES, ST = Madrid, L = Madrid, O = Cuaderno Inform\C3\A1tica, CN = Cuaderno Inform\C3\A1tica CA, emailAddress = ca-admin@cuadernoinformatica.com
        Validity
            Not Before: Jan 12 16:32:31 2022 GMT
            Not After : Jan 10 16:32:31 2032 GMT
        Subject: C = ES, ST = Madrid, L = Madrid, O = Cuaderno Inform\C3\A1tica, CN = Cuaderno Inform\C3\A1tica CA, emailAddress = ca-admin@cuadernoinformatica.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:af:2f:f7:21:4c:4b:53:59:4b:84:60:6b:a8:0e:
                    e1:39:3f:49:7c:14:80:25:47:f9:88:1d:9c:d7:5e:
                    d6:e2:c4:6a:10:01:d7:38:a9:dc:13:de:82:f1:88:
                    e1:2c:14:8d:33:a0:ff:7b:0f:69:41:04:5e:9d:b2:
                    c0:b1:05:2b:d3:ec:41:5c:4b:f9:94:dc:e8:ea:d1:
                    e8:b1:c3:b4:83:7c:d1:8a:55:0a:63:c0:85:23:5d:
                    dd:e7:fe:66:17:b2:49:70:9b:4e:d1:34:d2:5a:b0:
                    44:1a:73:46:b8:c7:2b:b7:09:ba:be:39:f3:16:ba:
                    d9:fe:9a:5c:f6:42:11:5e:c4:0f:ce:15:0e:ae:82:
                    2c:f6:14:3d:56:65:d9:da:52:12:c4:06:27:cf:22:
                    b0:7c:38:cc:ff:22:09:8c:84:2c:80:fe:46:98:9e:
                    ee:c0:52:b6:d1:45:da:0f:52:26:fa:e1:dc:ad:f9:
                    68:c6:4a:c6:31:bb:58:40:72:ec:3b:8f:87:f5:c9:
                    fc:61:07:4e:51:d0:d8:fb:0f:58:d2:e4:bf:2c:f3:
                    52:fe:e5:28:7a:3a:b1:88:e4:b0:fe:a8:90:67:b0:
                    26:92:1f:45:e1:8b:f5:53:cb:e5:f0:88:0b:49:80:
                    0f:76:6f:7a:3f:fa:b3:ac:d9:29:b6:d9:4c:ab:b2:
                    fe:f3
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                7D:9D:01:63:4F:99:26:16:82:3C:88:D8:9C:75:FC:85:82:A8:6A:41
            X509v3 Authority Key Identifier: 
                keyid:7D:9D:01:63:4F:99:26:16:82:3C:88:D8:9C:75:FC:85:82:A8:6A:41

            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         67:24:b3:2f:86:d8:12:8f:0e:09:cd:46:61:27:5a:0e:13:29:
         a1:a7:be:e4:76:e5:33:de:7b:72:1d:c7:ec:ae:73:63:b1:b5:
         34:c7:c4:18:1e:95:6e:14:1c:83:f2:0a:2b:3c:78:d6:16:cf:
         ce:52:f8:06:6c:32:29:69:d4:b6:88:df:e9:cf:50:43:51:02:
         98:4d:16:10:99:14:32:ae:3e:99:af:97:f7:da:43:f7:b9:f0:
         78:50:0d:1f:de:ea:5b:0e:ac:92:92:1e:38:14:c5:74:01:f2:
         9f:b1:b1:65:ae:7c:1f:1f:76:aa:e9:ec:9a:21:14:c3:cf:5a:
         01:cd:75:39:09:30:eb:06:71:b2:89:80:29:16:02:68:25:a2:
         d2:c1:24:6b:6a:e5:12:45:04:bf:5e:48:93:84:9e:f8:d8:39:
         18:b2:0b:31:11:66:87:a2:e1:48:05:24:1a:2d:5d:01:3e:9b:
         98:c5:ae:25:41:d6:df:be:06:07:fd:ba:6b:47:41:e0:fd:11:
         bc:97:81:99:b6:fa:48:d0:0c:92:15:49:a2:fd:3b:fb:c5:4a:
         fa:57:2b:84:21:2a:d1:90:c7:3a:67:17:32:73:ad:bd:2f:a2:
         26:75:49:ee:04:05:97:db:70:ca:fc:20:91:7d:2f:83:30:53:
         3b:7d:4d:59
-----BEGIN CERTIFICATE-----
MIIEKTCCAxGgAwIBAgIUJNGDQ8gqVOYAt+w6b3ynO6d39FgwDQYJKoZIhvcNAQEL
BQAwgaMxCzAJBgNVBAYTAkVTMQ8wDQYDVQQIDAZNYWRyaWQxDzANBgNVBAcMBk1h
ZHJpZDEeMBwGA1UECgwVQ3VhZGVybm8gSW5mb3Jtw6F0aWNhMSEwHwYDVQQDDBhD
dWFkZXJubyBJbmZvcm3DoXRpY2EgQ0ExLzAtBgkqhkiG9w0BCQEWIGNhLWFkbWlu
QGN1YWRlcm5vaW5mb3JtYXRpY2EuY29tMB4XDTIyMDExMjE2MzIzMVoXDTMyMDEx
MDE2MzIzMVowgaMxCzAJBgNVBAYTAkVTMQ8wDQYDVQQIDAZNYWRyaWQxDzANBgNV
BAcMBk1hZHJpZDEeMBwGA1UECgwVQ3VhZGVybm8gSW5mb3Jtw6F0aWNhMSEwHwYD
VQQDDBhDdWFkZXJubyBJbmZvcm3DoXRpY2EgQ0ExLzAtBgkqhkiG9w0BCQEWIGNh
LWFkbWluQGN1YWRlcm5vaW5mb3JtYXRpY2EuY29tMIIBIjANBgkqhkiG9w0BAQEF
AAOCAQ8AMIIBCgKCAQEAry/3IUxLU1lLhGBrqA7hOT9JfBSAJUf5iB2c117W4sRq
EAHXOKncE96C8YjhLBSNM6D/ew9pQQRenbLAsQUr0+xBXEv5lNzo6tHoscO0g3zR
ilUKY8CFI13d5/5mF7JJcJtO0TTSWrBEGnNGuMcrtwm6vjnzFrrZ/ppc9kIRXsQP
zhUOroIs9hQ9VmXZ2lISxAYnzyKwfDjM/yIJjIQsgP5GmJ7uwFK20UXaD1Im+uHc
rfloxkrGMbtYQHLsO4+H9cn8YQdOUdDY+w9Y0uS/LPNS/uUoejqxiOSw/qiQZ7Am
kh9F4Yv1U8vl8IgLSYAPdm96P/qzrNkpttlMq7L+8wIDAQABo1MwUTAdBgNVHQ4E
FgQUfZ0BY0+ZJhaCPIjYnHX8hYKoakEwHwYDVR0jBBgwFoAUfZ0BY0+ZJhaCPIjY
nHX8hYKoakEwDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAZySz
L4bYEo8OCc1GYSdaDhMpoae+5HblM957ch3H7K5zY7G1NMfEGB6VbhQcg/IKKzx4
1hbPzlL4BmwyKWnUtojf6c9QQ1ECmE0WEJkUMq4+ma+X99pD97nweFANH97qWw6s
kpIeOBTFdAHyn7GxZa58Hx92qunsmiEUw89aAc11OQkw6wZxsomAKRYCaCWi0sEk
a2rlEkUEv15Ik4Se+Ng5GLILMRFmh6LhSAUkGi1dAT6bmMWuJUHW374GB/26a0dB
4P0RvJeBmbb6SNAMkhVJov07+8VK+lcrhCEq0ZDHOmcXMnOtvS+iJnVJ7gQFl9tw
yvwgkX0vgzBTO31NWQ==
-----END CERTIFICATE-----

Una vez creada la CA podemos generar una clave privada para un servidor o usuario en cualquier otro ordenador. Por seguridad la clave privada se puede cifrar con un algoritmo como AES con el parámetro -aes256.

# openssl genrsa -out privkey.pem 2048

Generating RSA private key, 2048 bit long modulus (2 primes)
..................................................................+++++
..........+++++
e is 65537 (0x010001)

Con la clave privada podemos crear una petición de firma de certificado, Certificate Signing Request (CSR) en inglés. El "Common Name" en el caso de un servidor es la dirección de internet y en el caso de un usuario el nombre y apellidos.

# openssl req -new -key privkey.pem -out certrequest.csr -utf8

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:Madrid
Locality Name (eg, city) []:Madrid
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cuaderno Informática
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.cuadernoinformatica.com
Email Address []:web@cuadernoinformatica.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

La petición de firma de certificado se debe enviar al ordenador de la CA para que sea firmada y se cree el certificado. Con el parámetro -out se indica el archivo de salida del certificado.

# openssl ca -in certrequest.csr -out cert.pem

Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for /etc/ssl/ca/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jan 12 16:37:54 2022 GMT
            Not After : Jan 12 16:37:54 2023 GMT
        Subject:
            countryName               = ES
            stateOrProvinceName       = Madrid
            organizationName          = Cuaderno Inform\E1tica
            commonName                = www.cuadernoinformatica.com
            emailAddress              = web@cuadernoinformatica.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                8A:3A:17:80:2E:CC:8F:E9:35:FF:AD:6C:E8:06:DF:07:20:E6:AF:2D
            X509v3 Authority Key Identifier: 
                keyid:7D:9D:01:63:4F:99:26:16:82:3C:88:D8:9C:75:FC:85:82:A8:6A:41

Certificate is to be certified until Jan 12 16:37:54 2023 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Al igual que con el certificado de la CA podemos usar el comando openssl para ver los datos de los certificados de servidores o usuarios.

# openssl x509 -in cert.pem -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = ES, ST = Madrid, L = Madrid, O = Cuaderno Inform\C3\A1tica, CN = Cuaderno Inform\C3\A1tica CA, emailAddress = ca-admin@cuadernoinformatica.com
        Validity
            Not Before: Jan 12 16:37:54 2022 GMT
            Not After : Jan 12 16:37:54 2023 GMT
        Subject: C = ES, ST = Madrid, O = Cuaderno Inform\C3\A1tica, CN = www.cuadernoinformatica.com, emailAddress = web@cuadernoinformatica.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:e2:e7:ca:79:48:22:86:e8:5a:9e:d7:d6:19:ce:
                    27:51:b1:7e:8d:f9:97:7f:bc:3e:94:1e:5e:66:e0:
                    98:06:cb:6a:03:3b:10:1b:69:03:8b:57:95:6c:b4:
                    51:e4:ab:f6:fc:4c:8d:0f:2d:ea:54:a2:05:f6:76:
                    c0:62:b0:42:97:ec:26:59:51:d3:0a:f9:84:aa:76:
                    f6:cd:d5:a9:74:d7:e0:84:fd:72:fe:34:e4:d0:47:
                    5b:85:13:bb:e9:eb:0f:de:9b:cd:c6:68:0b:60:10:
                    4d:cc:10:04:08:c5:bd:8f:1f:29:d6:62:25:5d:eb:
                    b1:d2:00:6d:ca:3a:ba:7f:10:1c:b0:f3:66:d0:9f:
                    86:aa:1f:a8:50:84:eb:82:38:2d:59:24:0d:3c:79:
                    80:13:64:8d:72:f5:9a:d4:4b:e7:c3:95:0b:01:a6:
                    35:bb:fe:5a:37:47:01:aa:4c:35:3d:f5:1c:db:e6:
                    19:7a:34:5f:61:cd:92:09:b9:3a:fc:4f:ba:04:da:
                    54:22:d1:9c:0d:f3:8d:d9:5e:70:70:be:7c:40:ee:
                    ae:e1:1e:44:ad:02:90:6b:47:fd:d8:da:23:14:c7:
                    f7:c8:f9:b9:a6:3f:3a:e5:4d:52:ce:a8:a7:0a:8a:
                    0e:1b:f0:0b:f5:2d:b0:0b:69:e5:2f:73:eb:7e:65:
                    89:ab
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                8A:3A:17:80:2E:CC:8F:E9:35:FF:AD:6C:E8:06:DF:07:20:E6:AF:2D
            X509v3 Authority Key Identifier: 
                keyid:7D:9D:01:63:4F:99:26:16:82:3C:88:D8:9C:75:FC:85:82:A8:6A:41

    Signature Algorithm: sha256WithRSAEncryption
         47:a3:7b:c7:6e:e9:99:ac:27:7d:78:0f:fb:12:12:2f:d8:51:
         f2:a4:e4:50:00:36:a4:c0:bf:b3:99:42:d6:67:62:d0:b1:91:
         a2:61:cc:d5:bb:a4:32:f4:9a:3f:85:75:32:a1:3f:d1:8e:64:
         bc:bc:4e:7c:7d:41:0c:66:a8:4a:7b:8d:39:05:06:92:af:a2:
         01:90:27:46:c9:e5:71:f3:32:35:9f:95:f9:ee:a1:e4:5f:46:
         ba:ea:e2:19:01:35:a0:e5:dc:51:55:fe:cb:11:41:f0:a8:46:
         93:92:a7:af:c0:bb:71:8d:99:2b:01:94:b3:9a:e6:3f:5a:5b:
         9b:de:ac:79:c1:33:06:d6:ba:0a:23:75:ee:64:bc:e0:06:76:
         fa:83:c1:7d:94:d6:5e:2c:ab:8a:af:7c:c5:67:31:2c:fe:ee:
         9c:9f:a8:ea:ef:87:6b:5b:99:72:00:03:1a:6f:68:e2:fc:b4:
         e4:e7:da:2a:17:83:09:bc:2f:62:07:0a:f7:3d:70:ad:96:e6:
         ee:45:be:11:a1:02:50:98:78:08:b0:bf:12:e8:6a:9d:1f:6f:
         11:0e:9d:bc:a7:32:58:57:96:6a:cc:06:f1:1e:7a:dc:c8:36:
         8a:ec:05:80:0d:63:6d:1c:bb:85:c4:4c:e1:ee:2d:b5:ef:4e:
         14:1c:b3:97
-----BEGIN CERTIFICATE-----
MIIEKzCCAxOgAwIBAgIBATANBgkqhkiG9w0BAQsFADCBozELMAkGA1UEBhMCRVMx
DzANBgNVBAgMBk1hZHJpZDEPMA0GA1UEBwwGTWFkcmlkMR4wHAYDVQQKDBVDdWFk
ZXJubyBJbmZvcm3DoXRpY2ExITAfBgNVBAMMGEN1YWRlcm5vIEluZm9ybcOhdGlj
YSBDQTEvMC0GCSqGSIb3DQEJARYgY2EtYWRtaW5AY3VhZGVybm9pbmZvcm1hdGlj
YS5jb20wHhcNMjIwMTEyMTYzNzU0WhcNMjMwMTEyMTYzNzU0WjCBkDELMAkGA1UE
BhMCRVMxDzANBgNVBAgMBk1hZHJpZDEeMBwGA1UECgwVQ3VhZGVybm8gSW5mb3Jt
w6F0aWNhMSQwIgYDVQQDDBt3d3cuY3VhZGVybm9pbmZvcm1hdGljYS5jb20xKjAo
BgkqhkiG9w0BCQEWG3dlYkBjdWFkZXJub2luZm9ybWF0aWNhLmNvbTCCASIwDQYJ
KoZIhvcNAQEBBQADggEPADCCAQoCggEBAOLnynlIIoboWp7X1hnOJ1Gxfo35l3+8
PpQeXmbgmAbLagM7EBtpA4tXlWy0UeSr9vxMjQ8t6lSiBfZ2wGKwQpfsJllR0wr5
hKp29s3VqXTX4IT9cv405NBHW4UTu+nrD96bzcZoC2AQTcwQBAjFvY8fKdZiJV3r
sdIAbco6un8QHLDzZtCfhqofqFCE64I4LVkkDTx5gBNkjXL1mtRL58OVCwGmNbv+
WjdHAapMNT31HNvmGXo0X2HNkgm5OvxPugTaVCLRnA3zjdlecHC+fEDuruEeRK0C
kGtH/djaIxTH98j5uaY/OuVNUs6opwqKDhvwC/UtsAtp5S9z635liasCAwEAAaN7
MHkwCQYDVR0TBAIwADAsBglghkgBhvhCAQ0EHxYdT3BlblNTTCBHZW5lcmF0ZWQg
Q2VydGlmaWNhdGUwHQYDVR0OBBYEFIo6F4AuzI/pNf+tbOgG3wcg5q8tMB8GA1Ud
IwQYMBaAFH2dAWNPmSYWgjyI2Jx1/IWCqGpBMA0GCSqGSIb3DQEBCwUAA4IBAQBH
o3vHbumZrCd9eA/7EhIv2FHypORQADakwL+zmULWZ2LQsZGiYczVu6Qy9Jo/hXUy
oT/RjmS8vE58fUEMZqhKe405BQaSr6IBkCdGyeVx8zI1n5X57qHkX0a66uIZATWg
5dxRVf7LEUHwqEaTkqevwLtxjZkrAZSzmuY/Wlub3qx5wTMG1roKI3XuZLzgBnb6
g8F9lNZeLKuKr3zFZzEs/u6cn6jq74drW5lyAAMab2ji/LTk59oqF4MJvC9iBwr3
PXCtlubuRb4RoQJQmHgIsL8S6GqdH28RDp28pzJYV5ZqzAbxHnrcyDaK7AWADWNt
HLuFxEzh7i21704UHLOX
-----END CERTIFICATE-----

Además de en el archivo de salida indicado el certificado también es copiado al directorio de la CA /etc/ssl/ca/newcerts/.

# ls -l /etc/ssl/ca/newcerts/

total 8
-rw-r--r-- 1 root root 4765 ene 12 17:38 01.pem

En el archivo /etc/ssl/ca/index.txt podemos ver como se ha añadido una entrada con la información del certificado.

# cat /etc/ssl/ca/index.txt

V	230112163754Z		01	unknown	/C=ES/ST=Madrid/O=Cuaderno Inform\xC3\xA1tica/CN=www.cuadernoinformatica.com/emailAddress=web@cuadernoinformatica.com

El valor del archivo /etc/ssl/ca/serial ha sido aumentado en uno, el siguiente certificado recibirá el número de serie "2".

# cat /etc/ssl/ca/serial

02

Para la autenticación de usuario mediante certificados podemos crear certificados de la misma forma poniendo en el "Common Name" el nombre y apellidos del usuario.

# openssl genrsa -out user-privkey.pem 2048
# openssl req -new -key user-privkey.pem -out user-certrequest.csr -utf8

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:Madrid
Locality Name (eg, city) []:Madrid
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cuaderno Informática
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Alejandro Sánchez
Email Address []:alejandro@cuadernoinformatica.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

# openssl ca -in user-certrequest.csr -out user-cert.pem

Las clave privada y certificado en formato PEM los podremos utilizar en multitud software pero en algunos casos necesitaremos exportarlos a un almacén de claves PKCS12. Por seguridad se nos pedirá una contraseña para cifrarlo.

# openssl pkcs12 -export -in cert.pem -inkey privkey.pem -out keystore.p12 -name cuadernoinformatica

Enter Export Password:
Verifying - Enter Export Password:

Por varios motivos podemos necesitar revocar un certificado:

  • Eliminar el acceso de un usuario a un servidor.
  • Renovar un certificado caducado o próximo a caducar.
  • Invalidar un certificado al que un atacante ha tenido acceso a su clave privada.

# openssl ca -revoke /etc/ssl/ca/newcerts/02.pem

Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for /etc/ssl/ca/private/cakey.pem:
Revoking Certificate 02.
Data Base Updated

En el archivo index.txt podemos ver como la entrada del certificado tiene al inicio una "R" indicando que ha sido revocado y en la tercera columna la fecha de revocación.

# cat index.txt

V	230112163754Z		01	unknown	/C=ES/ST=Madrid/O=Cuaderno Inform\xC3\xA1tica/CN=www.cuadernoinformatica.com/emailAddress=web@cuadernoinformatica.com
R	230112164518Z	220112164845Z	02	unknown	/C=ES/ST=Madrid/O=Cuaderno Inform\xC3\xA1tica/CN=Alejandro S\xC3\xA1nchez/emailAddress=alejandro@cuadernoinformatica.com

Para que los servidores y usuarios tengan conocimiento de los certificados que han sido revocados podemos crear una Lista de Revocación de Certificados, en inglés Certificate Revocation List (CRL). Antes de ello hay que crear el archivo crlnumber con el número de serie de la siguiente lista a crear.

# echo "01" > /etc/ssl/ca/crlnumber
# openssl ca -gencrl -out crl.pem

Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for /etc/ssl/ca/private/cakey.pem:

Al igual que con los certificados podemos usar el comando openssl para ver la información de la lista de revocación. En ella se muestran los números de serie de los certificados revocados.

# openssl crl -in crl.pem -text

Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = ES, ST = Madrid, L = Madrid, O = Cuaderno Inform\C3\A1tica, CN = Cuaderno Inform\C3\A1tica CA, emailAddress = ca-admin@cuadernoinformatica.com
        Last Update: Jan 12 16:52:40 2022 GMT
        Next Update: Feb 11 16:52:40 2022 GMT
        CRL extensions:
            X509v3 CRL Number: 
                1
Revoked Certificates:
    Serial Number: 02
        Revocation Date: Jan 12 16:48:45 2022 GMT
    Signature Algorithm: sha256WithRSAEncryption
         4c:48:30:6d:99:91:05:94:05:5d:c5:79:6a:c2:36:fe:e5:db:
         e4:42:bc:10:26:17:1a:6e:6c:e9:61:ad:2a:47:32:16:e7:73:
         61:41:a2:ef:ad:c4:62:c5:34:ab:3c:db:5f:e8:d6:74:ed:eb:
         66:54:5b:db:6d:d9:70:df:8d:09:66:65:ff:9e:0c:71:94:3b:
         5f:e9:03:24:74:9e:e1:93:35:72:59:88:5e:fd:ba:35:d8:d7:
         66:74:72:48:94:21:96:f2:84:05:e9:84:e4:ff:34:a1:93:73:
         32:bd:61:d4:6f:6a:03:f8:9d:41:97:1d:76:03:45:1d:40:41:
         8e:c3:4a:93:c5:a6:19:90:42:3e:53:c6:90:27:b8:12:03:4d:
         94:22:74:d6:fb:06:4a:f5:50:19:8e:39:b7:42:9b:99:f1:59:
         3f:ec:d1:66:ee:ba:a3:5c:42:d8:a6:7f:f2:04:59:63:16:49:
         c0:1d:18:ee:ce:13:a5:6c:63:ae:ea:4d:08:36:b6:f3:87:2b:
         d2:98:b5:57:4e:db:e7:9c:ad:a4:3e:36:1c:d4:f8:86:b1:4e:
         0b:fa:b1:5b:94:8f:43:9a:89:65:8e:80:78:43:f5:41:6b:fe:
         df:e8:a3:4b:f4:e1:ef:5a:1b:06:a4:62:9b:df:38:54:38:53:
         8a:4b:d2:fa
-----BEGIN X509 CRL-----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-----END X509 CRL-----

Una vez que tenemos los archivos de claves y certificados creados los podemos usar en el software servidor y cliente. Por ejemplo en Tomcat podremos usar los archivos PEM en un conector dentro de SSLHostConfig. Los parámetros certificateFile y certificateKeyFile indican el certificado y la clave privada. Los parámetros caCertificateFile y certificateVerification sirven para configurar la autenticación de los usuarios mediante certificados firmados por la CA. certificateRevocationListFile indica la lista de certificados de usuario revocados.

<SSLHostConfig
   caCertificateFile="/etc/tomcat/cacert.pem
   certificateVerification="required"
   certificateRevocationListFile="/etc/tomcat/crl.pem">

   <Certificate
      certificateFile="/etc/tomcat/cert.pem"
      certificateKeyFile="/etc/tomcat/privkey.pem" />
</SSLHostConfig>

Para que el software cliente confíe en el certificado del servidor creado con nuestra CA es necesario importar en el software cliente el certificado de la CA como uno de los certificados de autoridades de certificación en las que debe confiar. Para ello primero debemos copiar el archivo cacert.pem al ordenador cliente. Cada software cliente puede tener un método distinto para la importación, por ejemplo en Firefox debemos entrar en Menú -> Preferencias -> Privacidad & Seguridad -> Certificados -> Ver certificados -> Autoridades -> Importar, seleccionar el archivo cacert.pem y marcar los propósitos para los que se va a confiar en la CA.

Para usar un certificado de usuario en Firefox es necesario exportar la clave privada y el certificado a un almacén de claves PKCS12.

# openssl pkcs12 -export -in user-cert.pem -inkey user-privkey.pem -out user-keystore.p12 -name cuadernoinformatica

Este archivo lo podemos importar en Firefox entrando en Menú -> Preferencias -> Privacidad & Seguridad -> Certificados -> Ver certificados -> Sus certificados -> Importar y seleccionando el archivo user-keystore.p12. Debemos asegurarnos de que el usuario tiene permisos de lectura sobre el archivo PKCS12.

Para los programas que utilicen listas de revocación de certificados podemos publicar la lista en un servidor web. En los certificados se puede indicar la dirección de la lista mediante la extensión "X509v3 CRL Distribution Points". Para que al crear los certificados se añada esta extensión con la dirección de la lista es necesario indicarlo en el parámetro crlDistributionPoints del archivo de configuración /etc/ssl/openssl.cnf.

[ usr_cert ]

crlDistributionPoints = URI:http://www.cuadernoinformatica.com/crl.pem
# openssl x509 -in cert.pem -text

...

X509v3 extensions:
            
            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://www.cuadernoinformatica.com/crl.pem

...

Estas son las instrucciones elementales para crear y utilizar una autoridad de certificación. Para casos concretos puede ser necesario que los certificados tengan algún tipo de información adicional.