Solicitud de certificados

Certificados para servidores UPC

 

esCERT-UPC gestiona la realización, renovación y revocación de certificados para los servidores de todas las unidades de la UPC.

Los requisitos para solicitar un certificado firmado son:

  • Los certificados sólo serán para servidores, nunca para cuentas de correo, direcciones IP u otras Autoridades de Certificación.
  • El nombre del servidor deberá encontrarse dentro de los dominios UPC: upc.edu o upc.es. Para cualquier otro CN, se deberá aportar información conforme el dominio pertenece a la UPC.
  • Las peticiones deberán tener formato PKCS#10.

 

Petición del nuevo certificado

La página web de peticiones no está actualmente disponible, para obtener el certificado firmado, el responsable técnico de la unidad deberá ponerse en contacto con nosotros desde el siguiente formulario:

Formulario de contacto

Una vez comprobada su validez, se remitirá el certificado firmado por la CA de COMODO, con extensión .pem. Este proceso puede tardar unos días.

Si el servicio necesitara el certificado con extensión .crt, se puede renombrar el certificado nombre_servidor.pem a nombre_servidor.crt.

A continuación se muestra un video de ejemplo (ver a pantalla completa):

 

Generación de la petición de un certificado

Al realizar la petición es necesario indicar el nombre del servidor, el país, la ciudad, la organización y la unidad. Los atributos extra pueden dejarse en blanco.

La con detenimiento los requisitos. Seguidamente puede generar la petición  a través de openssl, keytool o Microsoft IIS.

Requisitos

  • En el campo Organization (0) se debe indicar UPC.
  • En el campo Organizational Unit (OU) se debe indicar la unidad de la UPC a la que pertenece el servidor.
  • Es necesario indicar un nombre para el servidor en el campo Common Name (CN) de la petición.
  • Si se necesita añadir un campo de correo electrónico, éste debe tratarse de una cuenta institucional del tipo webmaster@, admin@, etc. El objetivo del e-mail en el DN es permitir que el certificado sea utilizado para firmar mensajes de correo (con la firma del servidor, no como firma personal). Algunas de las posibles aplicaciones para esta funcionalidad son el envío de mensajes institucionales o el uso en servidores de listas.
  • El tamaño de la clave debe ser de 2048 bits.

 

Generación de clave y de petición de certificado con openssl

Para realizar una petición con openssl, hay que ejecutar en el servidor correspondiente el siguiente comando:

openssl req -new -nodes -keyout clave_privada.pem -out pet_nombre_servidor.p10

esCERT-UPC pone a disposición un fichero de configuración con los campos por defecto necesarios. Puede descargar el fichero aquí.
Para usar este fichero añada al comando openssl la opción:

-config openssl_COMODO_esCERT_UPC.txt

Se generarán dos ficheros:

  • clave_privada.pem. Nueva clave privada del servidor. Se debe guardar esta clave de manera segura para no comprometer los servicios del servidor. Esta clave no debe enviarse con la petición, ya que quedaría comprometida y deberia ser generada de nuevo.
  • pe_nombre_servidor.p10. Petición de certificado.

Alias en openssl

Existe la posibilidad de crear un solo certificado con diferentes alias por servidor (hasta 100 nombres como máximo). Por ejemplo, un servidor puede responder a un nombre con dominio upc.es y al mismo nombre con upc.edu.

esCERT-UPC pone a disposición de los usuarios un fichero de configuración de alias con los campos por defecto necesarios.  Para realizar una petición con alias, deberá editar el fichero de configuración descomentando y añadiendo tantas líneas como alias tenga el servidor a partir de la línea 95 del archivo. Por ejemplo:

DNS.1_default = alias1.upc.es
DNS.2_default = alias2.upc.edu
DNS.3_default = alias3.upc.edu

Atención. Es necesario modificar el fichero de configuración, ya que el proceso de generación de la petición no preguntará los alias, sinó que los leerá del archivo.

Puede descargar el fichero aquí.
Para usar este fichero añada al comando openssl la opción:

-config openssl_COMODO_esCERT_UPC_altnames.txt

 

Petición de certificado con IIS

Para realizar un fichero de petición de certificados con IIS puede seguir los siguientes pasos:

  1. Abra el Administrador de Servicios Internet
  2. Vaya al sitio donde desee habilitar un certificado.
  3. Haga clic con el botón secundario del mouse en el nombre descriptivo del sitio y vaya a las propiedades.
  4. Haga clic en la opción Seguridad de directorios.
  5. En la sección Comunicaciones seguras, haga clic en Certificado de servidor. Esto iniciará el asistente para certificados.
  6. Haga clic en Siguiente.
  7. Elija la opción Crear un certificado nuevo y haga clic en Siguiente.
  8. Elija la opción Preparar la petición ahora pero enviarla más tarde y haga clic en Siguiente.
  9. Elija un nombre descriptivo para el sitio.
  10. Elija la longitud de bits de la clave que desea utilizar  (mínimo 2048) y haga clic en Siguiente.
  11. Especifique UPC en el campo organización (O) y su unidad estructural (OU). Haga clic en Siguiente.
  12. Especifique el nombre común (CN) del sitio. Debería ser el mismo que el usuario vaya a especificar al solicitar el sitio Web. Haga clic en Siguiente.
  13. Escriba el país (ES), localidad y província (sin abreviarlos). Haga clic en Siguiente.
  14. Escriba la información de contacto de la persona responsable de este certificado o sitio Web y haga clic en Siguiente.
  15. Escriba como nombre para el archivo de solicitud de certificado pet_nombre_servidor.p10 (el predeterminado es Certreq.txt). Este archivo contendrá toda la información que especificó previamente, así como su clave pública para el sitio (si no permite cambiar la extensión, puede renombrar posteriormente el archivo o enviar el .txt).  Al terminar, se crea un archivo con el nombre indicad. Haga clic en Siguiente.
  16. Se le presentará una pantalla de resumen con toda la información especificada. Asegúrese que toda esta información es correcta y, a continuación, haga clic en Siguiente. La petición de certificado está ahora creada.

Alias en IIS

Actualmente, el gestor de petición de certificados de IIS no permite la generación de certificados con múltiples nombres.

Para generar una solicitud de certificado con alias para IIS, se puede hacer mediante OpenSSL, de la misma forma como se genera una petición para sistemas GNU/Linux. Una vez se reciba el certificado firmado, se puede transformar de nuevo con OpenSSL para instalarlo en IIS.