Recientemente nos ha caducado el certificado que corría el servidor Apache de la intranet oficina, lo cual me ha obligado a repasar la documentación para volver a generar unos nuevos certificados (como es algo que no suelo hacer habitualmente, ya había olvidado como hacerlo). El caso es que me he vuelto loco repasando mis enlaces antiguos, así que me he animado a crear una nueva entrada en el blog, que me sirva de ayuda en el futuro (y espero que a vosotros). Hasta ahora tirábamos con un certificado autofirmado, pero después de encontrar esta utilísima guia del blog Tecnología, Sistemas, Seguridad y Ethical Hacking, me he decidido a crear un nuevo certificado creando antes una entidad certificadora propia. Como ha salido todo bien :-), aquí dejo las instrucciones para guiarme en el futuro, gran parte de ellas copiadas directamente de la guia anteriormente comentada, que a su vez, por lo que cuenta el autor, ha sido extraida en gran parte del sitio web www.linuxito.com.ar.

Cómo crear un certificado para Apache, firmado por nuestra propia entidad certificadora, y con arranque automático (sin petición de contraseña al reiniciar el servicio)

Paso 1. Crear la estructura de directorios donde crearemos los certificados

Los certificados que crearemos sólo servirán para uso personal ya que no son firmados por una autoridad de confianza como Verising, como un mecanismo de proveer una forma segura de comunicarse con tus servicios, para que las contraseñas o cualquier dato no viaje plano por la red.
De más está decir que necesitamos OpenSSL instalado en el ordenador que utilizaremos para administrar los certificados o crear las solicitudes de certificado. Yo particularmente trabajo con Debian (stable), por lo que los comandos reproducidos serán los necesarios en la versión que utilizo. No obstante, las indicaciones aquí descritas deberían ser válidas en cualquier distribución Linux.

Para comenzar debemos crear la estructura de directorios donde se almacenará toda la información relativa a nuestra PKI (Public Key Infraestructure):

# mkdir –m 0755 /CA
# mkdir –m 0755 /CA/private
# mkdir –m 0755 /CA/certs
# mkdir –m 0755 /CA/newcerts
# mkdir -m 0755 /CA/crl

• CA será el directorio de trabajo de la Autoridad Certificadora.
• certs será el directorio donde se ubicarán los certificados.
• newcerts es el directorio donde OpenSSL pone los certificados creados en formato PEM (sin encriptar) y en la forma [n° de serie].pem (por ejemplo: 15.pem).
• crl es el directorio donde se coloca la lista de revocación de certificados.
• private es el directorio donde se colocan las claves privadas (este directorio debe tener permisos extremadamente restrictivos, para que sólo sean leídos por root).

Las extensiones de archivos que se generarán en estos directorios serán las siguientes:

• KEY: Claves privadas (deben tener permisos restrictivos).
• CSR: Pedido de certificado (estos pedidos serán firmados por la CA para convertirse en certificados, luego pueden ser eliminados).
• CRT: Certificado (puede ser distribuido públicamente).
• PEM: Archivos que contienen tanto el certificado como la clave privada (deben tener permisos restrictivos).
• CRL: Lista de revocación de certificados (puede ser públicamente distribuida).

Para la configuración inicial de OpenSSL, copiamos el archivo de configuración por defecto de OpenSSL (openssl.cnf) al directorio /CA. En Debian se encuentra en el directorio /etc/ssl/openssl.cnf:

# cp /etc/ssl/openssl.cnf /CA
# chmod 0600 /CA/openssl.cnf

Luego creamos dos archivos que funcionan como bases de datos para OpenSSL:

# touch /CA/index.txt
# echo '01' > /CA/serial

Debido a que utilizamos un directorio personalizado para nuestros certificados, se necesitan algunas modificaciones en el archivo /CA/openssl.cnf, así que lo abrimos con nuestro editor de texto preferido (ojo, siempre como root) y nos debe quedar así:

[ CA_default ]
dir = /CA # Directorio donde se guarda todo <== CAMBIAR ESTA LINEA
certs = $dir/certs # Directorio donde se guardan certificados emitidos
crl_dir = $dir/crl # Directorio donde se guardan crl enviados
database = $dir/index.txt # Archivo índice de la base de datos
#unique_subject = no # Setear en 'no' para permitir que se creen diferentes certificados con el mismo 'subject'
new_certs_dir = $dir/newcerts # Directorio donde se guardan nuevos certificados
certificate = $dir/ca.crt # Certificado de la CA <== CAMBIAR ESTA LINEA
serial = $dir/serial # Número de serie actual
#crlnumber = $dir/crlnumber # El número de crl actual debe comentarse para dejar una CRL V1
crl = $dir/crl.pem # La CRL actual
private_key = $dir/private/ca.key # La clave privada <== CAMBIAR ESTA LINEA
RANDFILE = $dir/private/.rand # Número aleatorio privado
x509_extensions = usr_cert # Extensiones a agregar al certificado

Se puede personalizar aún más para definir políticas para la creación y firmado de los certificados, o definir extensiones deseadas para nuevos certificados.

Los certificados que vamos a crear con esta configuración, son certificados de propósito general y su uso no se restringe sólo a autenticación de servidores. Debe notarse que las claves privadas no serán protegidas por una passphrase, para que cuando los servicios se reinicien no soliciten el ingreso de passphrases. Esto implica que se debe restringir cuidadosamente el acceso de lectura sobre las claves privadas, para que sólo el usuario root, o el usuario privilegiado utilizado por los servicios, pueda leer estos archivos.

¡Ya tenemos nuesta base para comenzar a crear nuestros certificados!

Paso 2. Crear nuestra propia Entidad Certificadora (CA)

Después de terminar la configuración inicial, podemos crear un certificado auto-firmado que será utilizado como el certificado de nuestra CA. Este será utilizado para firmar las solicitudes de certificados:

# cd /CA
# openssl req -config openssl.cnf -new -x509 -extensions v3_ca -days 3650 -keyout private/CA_nombre.key -out certs/CA_nombre.crt
Generating a 1024 bit RSA private key
................++++++
...............++++++
writing new private key to 'private/CA_nombre.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:Tu provincia
Locality Name (eg, city) []:Tu ciudad
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Nombre de empresa, proyecto o lo que sea
Organizational Unit Name (eg, section) []:Nombre de departamento o lo que se te ocurra
Common Name (eg, YOUR name) []:Tu nombre
Email Address []:Tu dirección de correo electrónico

Se crearán dos archivos: certs/CA_nombre.crt, certificado de la CA públicamente disponible y con lectura para todo el mundo; private/CA_nombre.key, clave privada del certificado de la CA. A pesar de que está protegida por una contraseña se debe restringir el acceso:

# chmod 0400 /CA/private/CA_nombre.key

Paso 3. Creación del pedido del certificado

Para proceder con la creación de un certificado para un servidor, lo primero que hacemos es generar el pedido de certificado:

#cd /CA
#openssl req -config openssl.cnf -new -nodes -keyout private/apachessl.key -out apachessl.csr -days 3650
Generating a 1024 bit RSA private key
.......................++++++
.....++++++
writing new private key to 'private/apachessl.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]: Tu provincia
Locality Name (eg, city) []: Tu ciudad
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Nombre de empresa, proyecto o lo que sea
Organizational Unit Name (eg, section) []: Nombre de departamento o lo que se te ocurra
Common Name (eg, YOUR name) []: El nombre de tu dominio
Email Address []: Tu dirección de correo electrónico
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

• La opción nodes es necesaria para que la clave privada no sea protegida con una passphrase. Si el certificado no se va a utilizarar para la autenticación de servidores, no se debería incluir en la opción anterior.

• El Common Name (CN) es la información que identifica de forma única al servicio, por lo que debemos asegurarnos de escribirlo correctamente.

• Personalmente, recomiendo rellenar todos los campos que nos pidan, ya que si los dejamos vacíos, se nos rellenarán con los datos por defecto, y en ocasiones pueden inducirnos a pensar que hay algún error en ellos.

Al finalizar se crean dos archivos:

• apachessl.csr: El pedido de certificado.
• private/apachessl.key: La clave privada, que no ha sido protegida con una passphrase.

Como anteriormente, se deben crear permisos restrictivos sobre la clave privada, por ejemplo:

# chown root.root /CA/private/apachessl.key
# chmod 0400 /CA/private/apachessl.key

O (por ejemplo si el certificado es para un servidor Apache):

# chown root.apache /CA/private/apachessl.key
# chmod 0440 /CA/private/apachessl.key

Paso 4. Firma del pedido de certificado para generar el certificado para el servidor

A continuación firmamos el pedido de certificado para generar el certificado para el servidor:

# cd /CA
# openssl ca -config openssl.cnf -cert certs/CA_nombre.crt -policy policy_anything -out certs/apachessl.crt -infiles apachessl.csr
Using configuration from openssl.cnf
Enter pass phrase for /CA/private/CA_nombre.key:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Oct 16 07:36:10 2013 GMT
            Not After : Oct 14 07:36:10 2023 GMT
        Subject:
            countryName               = ES
            stateOrProvinceName       = Tu provincia
            localityName              = Tu ciudad
            organizationName          = Nombre de empresa, proyecto o lo que sea
            organizationalUnitName    = Nombre de departamento o lo que se te ocurra
            commonName                = El nombre de tu dominio
            emailAddress              = Tu dirección de correo electrónico
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                B5:9D:90:13:57:C7:3E:4B:5F:1A:41:B7:AA:A4:A2:DB:11:DB:03:F4
            X509v3 Authority Key Identifier:
                keyid:48:09:37:10:7E:A1:3E:42:17:4D:18:44:B6:13:FE:B9:AF:CD:CD:6F

Certificate is to be certified until Oct 14 07:36:10 2023 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

-La opción -policy policy_anything indica que no se requiere que los campos Country, State o City coincidan con los de la CA.

Al finalizar se crean dos nuevos archivos:

• certs/apachessl.crt: Certificado del servidor, que puede hacerse públicamente disponible.
• newcerts/01.pem: El mismo certificado pero con el número de serie como nombre de archivo, no es necesario.

En este momento podemos eliminar el pedido de certificado, el cual no necesitaremos más (apachessl.csr):
rm –f /CA/apachessl.csr

Paso 5. Creación de un archivo pkcs12 para instalar en navegadores

Como penúltimo paso, nos queda generar un archivo pkcs12, listo para ser cargado en los navegadores que necesitemos que tengan acceso a nuestro sitio.

# openssl pkcs12 -export -in certs/apachessl.crt -inkey private/apachessl.key -certfile certs/CA_nombre.crt -out apachessl_pck12.p12
Enter Export Password:
Verifying - Enter Export Password:

Paso 6. Copiando nuestros certificados a sus directorios destino

¡Recapitulemos! Con todos estos pasos, hemos generado un certificado autofirmado de Entidad Certificadora, un certificado para servidor firmado por esa Entidad Certificadora, y un archivo pkcs12 para instalar en navegadores. ¿Qué hacemos ahora?

En el servidor:

• CA_nombre.crt y CA_nombre.key : estos dos archivos forman el certificado correspondiente a nuestra Entidad Certificadora (CA). En mi servidor Debian, hay que copiar el certificado público (extensión .crt) a /etc/ssl/certs y la clave privada (extensión .key) a /etc/ssl/private.
• apachessl.crt y apachessl.key: estos dos archivos forman el certificado correspondiente al servidor, firmado por nuestra Entidad Certificadora. Como antes, debemos de copiar el certificado público (extensión .crt) a /etc/ssl/certs y la clave privada (extensión .key) a /etc/ssl/private.

Después tendríamos que configurar el servidor web para que usase esos certificados. En apache (el que yo uso), sería algo similar a esto:

SSLEngine on
SSLCACertificateFile '/etc/ssl/certs/CA_minombre.crt'
SSLCertificateFile '/etc/ssl/certs/apachessl.crt'
SSLCertificateKeyFile '/etc/ssl/private/apachessl.key'
SSLVerifyClient require
SSLVerifyDepth 10
# --- opciones varias (mirar en http://httpd.apache.org/docs/2.2/mod/mod_ssl$
SSLProtocol -all +SSLv3
SSLCipherSuite SSLv3:+HIGH:+MEDIUM

En cada navegador que querais que tenga acceso a vuestro sitio web:

• Primeramente tendremos que importar el certificado de nuestra Entidad Certificadora. Por ejemplo, para hacerlo en Firefox hay que ir a Herramientas -> Opciones -> Avanzado -> Certificados -> Ver certificados -> Importar y una vez allí importar el archivo CA_nombre.crt que (recuerda) contiene la clave pública de nuestra Entidad Certificadora.
• Acto seguido, tenemos que importar también el certificado pkcs12 que contiene el certificado de nuestro servidor (en el ejemplo que os he puesto: apachessl_pck12.p12)

Paso 7. Otras operaciones con los certificados generados

Si queremos consultar nuestro certificado, podremos consultarlo con el siguiente comando:

# openssl x509 –subject –issuer –enddate –noout –in /CA/certs/apachessl.crt

O el siguiente:

# openssl x509 –in certs/apachessl.crt –noout -text

Y verificar que el certificado sea válido para autenticación de servidores con el siguiente:

# openssl verify –purpose sslserver –Cafile /CA/certs/CA_nombre.crt /CA/certs/apachessl.crt

Algunos servidores o aplicaciones requieren que el certificado y la clave privada existan en el mismo archivo, esto se puede lograr con el comando:

# cat certs/apachessl.crt private/apachessl.key > private/apache-ssl-cert-key.pem

Entonces se debería restringir el acceso al archivo .pem resultante y borrar apachessl.crt y apachessl.key si no son necesarios.

# chown root.root private/apache-ssl-cert-key.pem
# chmod 0400 private/apache-ssl-cert-key.pem
# rm –f certs/apachessl.crt
# rm –f private/apachessl.key

Si deseamos que un certificado deje de ser válido debemos revocarlo. Esto se puede hacer con el comando:

# openssl ca –config openssl.cnf –revoke certs/apachessl.crt

Hecho lo anterior, ahora debemos generar una nueva CRL (Certificate Revokation List):

# openssl ca –config openssl.cnf –gencrl –out crl/CA_nombre.crl

El certificado de nuestra CA y nuestra lista de revocación (CRL) deben ser distribuidos a aquellos que confíen en nuestra CA para que puedan importarlos en el software cliente (web browser, clientes ftp, clientes de email, etc). Además la CRL debe ser pública. Si queréis mas información sobre el estándar de Infraestructura de Clave Pública, quizás os interese visitar el siguiente enlace: Wikipedia: Infraestructura de clave pública.

En fín, hasta aquí esta pequeña guía que espero os venga bien para, por ejemplo, acceder a vuestras intranets caseras desde cualquier sitio. Las posibilidad son amplias: podeis llevar en un pendrive un Firefox portable con los certificados instalados y ejecutarlo en cualquier PC seguro; podeis instalar en vuestra tablet o móvil android (es lo que yo uso, supongo que en otros sistemas también), los certificados y acceder también desde ellos. Incluso (es lo que yo tengo pensado hacer próximamente), podeis instalar en vuestra intranet algún servidor CalDav y CardDav, para así gestionar vosotros mismos vuestros calendarios y contactos, y compartirlos centralizadamente con los ordenadores de vuestra red local, al igual que con los móviles y las tablets a los que instalemos el certificado.

Si quereis más información, aquí se ha hablado un poco más sobre este tema:

• https://www.vicente-navarro.com/blog/2009/02/22/crear-los-certificados-ssl-para-nuestro-servidor-web-https-con-apache-openssl-y-debian-lenny/
• https://cloudclearblog.wordpress.com/2013/03/29/montando-tu-propia-pki/
• https://www.planetainopia.com/blog/20090622-apache-ssl-quitar-peticion-de-clave-en-el-arranque
• https://www.planetainopia.com/blog/20090917-apache-ssl-y-acceso-por-certificado