none
Generar CERTIFICADO desde CA interna para otro servidor. RRS feed

  • Pregunta

  • Buenas,

    Tengo que generar un certificado de validacion web entre servidor y clientes para un server linux. Lo debo hacer desde nuesta CA interna montada en un 2008.

    Tengo un poco de lio con los certificados, entiendo el funcionamiento pero para ciertas tareas no me atrevo a probar porque no se muy bien como proceder.

    La idea es crearlo y enviar el .cert (creo que es lo que se necesita) para que se instale en el servidor web y validar por SSL.

    Como procedo para crearlo desde la CA, consola de certificados, desde el browser /cert ? ? me vale alguna de las plantillas default ?

    Gracias, un saludo !!

    viernes, 25 de septiembre de 2015 8:28

Respuestas

  • El pedido de certificado es un archivo *.req
    No es un *.cert

    Ese *.req hay que cargarlo en la CA, otorgarlo, y luego exportar el archivo para llevarlo a la máquina en cuestión

    Revisa si este enlace te ayuda, no es tu caso, ya que es un pedido de certificado de una Sub-CA pero puede ayudarte

    Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise | WindowServer
    https://windowserver.wordpress.com/2014/06/19/autoridad-certificadora-instalacin-y-configuracin-de-una-autoridad-certificadora-subordinada-enterprise/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 6 de octubre de 2015 17:47
    • Marcado como respuesta Moderador M miércoles, 14 de octubre de 2015 17:42
    martes, 6 de octubre de 2015 15:29
    Moderador

Todas las respuestas

  • Nadie sabria decirme como proceder ¿?

    martes, 6 de octubre de 2015 12:11
  • El pedido de certificado es un archivo *.req
    No es un *.cert

    Ese *.req hay que cargarlo en la CA, otorgarlo, y luego exportar el archivo para llevarlo a la máquina en cuestión

    Revisa si este enlace te ayuda, no es tu caso, ya que es un pedido de certificado de una Sub-CA pero puede ayudarte

    Autoridad Certificadora – Instalación y Configuración de una Autoridad Certificadora Subordinada Enterprise | WindowServer
    https://windowserver.wordpress.com/2014/06/19/autoridad-certificadora-instalacin-y-configuracin-de-una-autoridad-certificadora-subordinada-enterprise/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 6 de octubre de 2015 17:47
    • Marcado como respuesta Moderador M miércoles, 14 de octubre de 2015 17:42
    martes, 6 de octubre de 2015 15:29
    Moderador
  • Hola P_Agudo,

    Además de lo que ya te ha comentado Guillermo, en tu máquina Linux deberias hacer lo siguiente:

    1) Genera una clave privada
    # openssl genrsa 1024 > server.key

    2) Crea una Certificate Request

    #openssl req -new -key ./server.key > request.csr

     

    Proporciona los detalles que se te solicita. Ten cuidado con el nombre del host ya que toda esta información se asociará a tu certificado. En general la información que proporciones aqui tiene que coincidir exactamente con el hostname de tu servidor.

    3) Usa el contenido del fichero csr para solicitar el certificado en tu CA de Windows
    # cat request.csr

    4) Dependiendo el tipo de servidor Linux tendrás que importar el certificado en un lugar u otro de tu server.

    Un saludo y espero que te sirva


    Twitter: @SantiFdezMunoz
    LinkedIn: SantiFdezMunoz
    Mi Blog: http://www.santifdezmunoz.me
    Simple Minutes
    MCP Virtual Business Card

    • Propuesto como respuesta Moderador M martes, 6 de octubre de 2015 17:47
    martes, 6 de octubre de 2015 15:36
  • Gracias a ambos.

    Estoy operando en la CA Sub. La CA principal esta apagada como se recomienda.

    Entonces entiendo que debo solicitarla desde el propio Linux. No es posible generarlo desde la propia CA Sub ? No es posible crear un cert desde la CA para otra maquina ?

    Voy a ver si puedo hacer pruebas.

    Saludos

    viernes, 9 de octubre de 2015 7:41
  • En teoría puedes generar un certificado para es máquina linux desde la CA o desde otro equipo, pero ojo, simpre que la información del certificado sea correcta y coincida con la que necesita la máquina linux. Cuando tengas el certificado, tendrás que exportarlo junto con la clave privada, es decir, generarte un .pfx (que además tendrás que convertirlo previamente para importarlo en las máquinas linux)

    Es preferible hacerlo generando la petición desde la máquina Linux porque así la clave privada no anda dando vueltas por ahí, sino que se queda en el Linux y se convierte en válida una vez que recibe la firma de tu CA. Además te ahorras problemas de conversiones y lios varios.

    Un saludo y espero haberte ayudado.


    Twitter: @SantiFdezMunoz
    LinkedIn: SantiFdezMunoz
    Mi Blog: http://www.santifdezmunoz.me
    Simple Minutes
    MCP Virtual Business Card

    viernes, 9 de octubre de 2015 8:06
  • Hemos generado la .KEY y el .CSR desde un linux a nombre de este server.

    La clave privada la tiene el propio server y ahora debo validar el .CSR desde mi CA, pero no veo como... al intentar importar la solicitud no me ve como valido el formato .CSR

    Gracias de nuevo Santi.


    • Editado Pedro_A viernes, 9 de octubre de 2015 8:16
    viernes, 9 de octubre de 2015 8:12
  • ¿Como estás intentando importar ese CSR?

    Te dejo unas instrucciones (en ingles) de como hacerlo:

    Sign a Certificate with Microsoft CA

    Recuerda que tienes que pegar todo el texto del CSR en el portal certsrv de tu CA.


    Twitter: @SantiFdezMunoz
    LinkedIn: SantiFdezMunoz
    Mi Blog: http://www.santifdezmunoz.me
    Simple Minutes
    MCP Virtual Business Card

    • Propuesto como respuesta Moderador M lunes, 12 de octubre de 2015 15:42
    viernes, 9 de octubre de 2015 8:29