Copia y creación de repositorios de paquetes en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Creación de una autoridad de certificación de servidor autofirmado

Con fines de prueba, puede utilizar una autoridad de certificación de un servidor autofirmado (CA) en lugar de una CA de terceros. Los pasos para crear un servidor autofirmado CA para Apache son muy similares a los pasos para crear una CA para los certificados del cliente como se describe en Creación de una autoridad de certificación para certificados de cliente.

Utilice el siguiente comando para crear una CA del servidor. Configure subject con el nombre del servidor DNS.

$ pktool gencert label=apacheCA subject="CN=apachetest" \
serial=0x01

Utilice el comando siguiente para crear una CSR para una CA de servidor. Si el servidor es accesible con varios nombres o desea que esté disponible en su dirección IP directamente, utilice la directiva subjectAltNames como se describe en Subject Alternative Name en la documentación de OpenSSL.

$ pktool gencsr label=apache subject="CN=pkg-sec.internal.example.com" \
altname="IP=192.168.1.1,DNS=pkg-sec.internal.example.com" \
format=pem outcsr=apache.csr

Utilice el siguiente comando para firmar la CSR. Utilice server.crt para SSLCertificateFile.

$ pktool signcsr signkey=apacheCA csr=apache.csr serial=0x02 \
outcert=server.crt issuer="CN=apachetest"

Utilice el siguiente comando para extraer la clave. Utilice server.key para SSLCertificateKeyFile.

$ pktool export objtype=key label=apache outformat=pem \
outfile=server.key

Para asegurarse de que su cliente acepte esta clave de servicio, agregue el certificado de CA (apacheCA) al directorio de CA aceptadas en el sistema del cliente y reinicie el servicio ca-certificates para crear los enlaces necesarios para OpenSSL.

Utilice el siguiente comando para extraer el certificado de CA:

$ pktool export label=apacheCA objtype=cert outformat=pem \
outfile=test_server_ca.pem

Copie el certificado de CA en el directorio del certificado de CA de la máquina cliente:

$ cp /path-to/test_server_ca.pem /etc/certs/CA/

Reinicie el servicio de certificados de CA:

$ svcadm refresh ca-certificates

Antes de continuar, asegúrese de que el nuevo certificado de CA se ha vinculado. Después de actualizar, el servicio ca-certificate vuelve a crear los enlaces en el directorio /etc/openssl/certs. Ejecute el siguiente comando para comprobar si el nueva certificado de CA se ha vinculado:

$ ls -l /etc/openssl/certs | grep test_server_ca.pem
lrwxrwxrwx   1 root     root          40 May  1 09:51 e89d96e0.0 -> ../../certs/CA/test_server_ca.pem

Puede que el valor hash, e89d96e0.0, sea diferente para usted porque está basado en el asunto de su certificado.