![](https://www.analyticslane.com/storage/2024/03/cobweb.jpg)
La seguridad de las conexiones es algo clave en la era digital. Para garantizar la seguridad en las comunicaciones entre los navegadores y los servidores web es necesario contar con certificados SSL (del inglés Secure Sockets Layer). Estos certificados cifran los datos y autentican la identidad del servidor. En el caso de tener un servidor público en Internet estos deben ser emitidos por una Autoridad de Certificación (CA, del inglés Certification Authority) de confianza, para garantizar al usuario que la página web es a la que desean acceder. Pero, cuando se trabaja en una intranet, se pueden crear fácilmente certificados SSL con OpenSSL para encintar las comunicaciones.
¿Qué es un Certificado SSL?
Un certificado SSL es un archivo de datos que vincula una clave criptográfica a los detalles de una organización o entidad. En Internet, suele estar emitido por una Autoridad de Certificación (CA) y sirve como prueba de la autenticidad del servidor web. Cuando un navegador se conecta a un servidor seguro, este último envía su certificado SSL al navegador, que luego verifica su validez. Si el certificado es válido y confiable, se establece una conexión segura entre el navegador y el servidor.
Pasos para crear certificados SSL con OpenSSL
Paso 1: Generación de una clave privada
El primer paso para crear un certificado SSL es generar una clave privada. La clave privada es esencialmente la ”llave” que protege la comunicación encriptada entre el servidor y el cliente. Para generar una clave privada RSA de 2048 bits y guardarla en un archivo llamado clave_privada.key
, se puede usar el siguiente comando con OpenSSL:
openssl genpkey -algorithm RSA -out clave_privada.key -pkeyopt rsa_keygen_bits:2048
Este comando generará una nueva clave privada RSA y la guardará en el archivo clave_privada.key
. Los parámetros que se han usado para configurar son los siguientes:
openssl genpkey
: Comando para generar una clave privada.-algorithm RSA
: Especifica el algoritmo RSA para generar la clave privada.-out clave_privada.key
: Especifica el nombre del archivo de salida donde se guardará la clave privada.-pkeyopt rsa_keygen_bits:2048
: Define el tamaño de bits de la clave RSA, en este caso, 2048 bits.
Paso 2: Crear una solicitud de firma de certificado (CSR)
Una vez creado la clave privada, es necesario crear una Solicitud de Firma de Certificado (CSR, del inglés Certificate Signing Request). El CSR es un documento que contiene información sobre el solicitante del certificado, como el nombre de dominio y la organización. Utilizamos la clave privada generada anteriormente y se puede crear un CSR para el servidor. Para ello se puede ejecutar el siguiente comando e ir respondiendo a la información que aparece en pantalla:
openssl req -new -key clave_privada.key -out solicitud.csr
Este comando generará una nueva solicitud de firma de certificado utilizando la clave privada especificada y la guardará en el archivo solicitud.csr
. Los parámetros que se han usado son:
openssl req
: Comando para crear una solicitud de certificado.-new
: Indica que se está creando una nueva solicitud.-key clave_privada.key
: Especifica la clave privada que se utilizará para generar la solicitud.-out solicitud.csr
: Especifica el nombre del archivo de salida donde se guardará la solicitud CSR.
Paso 3: Generar un el certificado autofirmado
Ahora, una vez generada la clave privada y el CSR se puede generar un certificado autofirmado. Al no estar emitido por una CA no se puede usar en servidores públicos en Internet ya que no cuenta con el respaldo de una de estas entidades. Pero puede ser útil para entornos de desarrollo o pruebas locales.
Un certificado autofirmado válido por un año se puede generar y guardar en el archivo certificado.crt
ejecutando el siguiente comando:
openssl x509 -req -in solicitud.csr -signkey clave_privada.key -out certificado.crt -days 365
Este comando utilizará la solicitud de firma de certificado (CSR) generada anteriormente, junto con la clave privada, para crear un certificado autofirmado válido por un año. Los parámetros que se han usado son:
openssl x509
: Comando para firmar certificados X.509.-req
: Indica que se está utilizando una solicitud de certificado como entrada.-in solicitud.csr
: Especifica el archivo de solicitud de certificado a utilizar.-signkey clave_privada.key
: Especifica la clave privada con la que se firmará el certificado.-out certificado.crt
: Especifica el nombre del archivo de salida donde se guardará el certificado.-days 365
: Especifica la cantidad de días durante los cuales el certificado será válido, en este caso, un año (365 días).
Paso 4: Validación de la clave privada y el certificado
Si los pasos anteriores se han ejecutado correctamente la clave y el certificado servirán para validar de forma correcta el servidor web. Para estar seguro de ello, OpenSSL proporciona herramientas para validar la correspondencia entre ambas.
El método más sencillo para verificar si un certificado es válido para una clave privada es mediante la herramienta de línea de comandos openssl
. Asumiendo que tenemos los archivos del certificado (certificado.crt
) y la clave privada (clave_privada.key
) en el directorio actual, ejecutado el siguiente comando se puede obtener el hash SHA-256 de la clave pública correspondiente a la clave privada y al certificado, respectivamente
openssl pkey -in clave_privada.key -pubout -outform pem | sha256sum openssl x509 -in certificado.crt -pubkey -noout -outform pem | sha256sum
Si los hashes son iguales, significa que la clave privada y el certificado se corresponden correctamente una con la otra.
Configurar el servidor web
Finalmente, es necesario configurar el servidor web para utilizar el archivo de clave privada (clave_privada.key
) y el certificado (certificado.crt
) que acaba de generar. Este paso varía según el servidor web y se debe realizar siguiendo la documentación específica del servidor. Por ejemplo, para un servidor Express se pueden seguir los pasos que se muestran en esta publicación anterior.
Conclusiones
La creación y validación de certificados SSL son pasos fundamentales para garantizar la seguridad y la autenticidad de la comunicación en línea. En esta entrada se han visto los pasos para generar certificados SSL con OpenSSL de una forma fácil y rápida. Además de indicar cómo validar estos en línea de comandos.
Imagen de Myriams-Fotos en Pixabay
Deja una respuesta