La CA es el certificado de nivel superior en la cadena de certificados. La CA es necesaria para generar certificados de cliente y validar los certificados presentados por los clientes para acceder al repositorio.
Las CA de terceros están gestionadas por pocas empresas de confianza, como VeriSign. Esta gestión de confianza permite a los clientes verificar la identidad de un servidor con una de sus CA. El ejemplo de esta sección no incluye verificar la identidad del servidor del repositorio. Este ejemplo sólo muestra verificación de los certificados de cliente. Por lo tanto, en este ejemplo se utiliza un certificado autofirmado para crear la CA y no se utiliza ninguna CA de terceros.
La CA requiere un nombre común (CN). Si ejecuta un solo repositorio, puede que desee definir el CN con el nombre de su organización (por ejemplo, "Entrega de software de Oracle"). Si tiene varios repositorios, cada repositorio debe tener su propia CA. En este caso, configure el CN con un nombre que identifique de forma única el repositorio para el que crea la CA. Por ejemplo, si tiene un repositorio de la versión y un repositorio de asistencia, sólo los certificados de la CA de la versión podrán acceder al repositorio de la versión, y sólo los certificados de la CA de asistencia podrán acceder al repositorio de asistencia.
Para identificar el certificado en el almacén de claves, defina una etiqueta descriptiva para el certificado. Una buena práctica es definir la etiqueta del certificado en CN_ca, donde CN es el CN del certificado.
Utilice el siguiente comando para crear el certificado de CA, donde name es el CN del certificado y CAlabel es la etiqueta del certificado:
$ pktool gencert label=CAlabel subject="CN=name" serial=0x01
La CA se almacenará en el almacén de claves. Utilice el siguiente comando para mostrar el contenido de su almacén de claves:
$ pktool list
Deberá extraer el certificado de CA del almacén de claves cuando configure Apache como se describe en Agregación de configuración de SSL al archivo de configuración de Apache. Utilice el siguiente comando para extraer el certificado de CA a un archivo denominado ca_file.pem:
$ pktool export objtype=cert label=CAlabel outformat=pem \ outfile=ca_file.pem