Para crear un certificado, primero necesita crear una Solicitud de Firma de Certificado (CSR). Puede enviar una CSR a una autoridad de certificación o usarla para crear un certificado autofirmado.
Usar OpenSSL para generar una CSR
OpenSSL está instalado en la mayoría de las distribuciones de GNU/Linux. Para descargar el código fuente o un archivo binario de Windows, diríjase a http://www.openssl.org/ y siga las instrucciones de instalación para su sistema operativo. Puede usar el OpenSSL para convertir certificados y solicitudes de firma de certificado de un formato a otro. Para más información, vea la página principal de OpenSSL o la documentación en línea.
- Abra un terminal de Command Line Interface.
Asegúrese de ejecutar el aviso de comando como administrador. Puede hacer esto al hacer clic derecho en el atajo de aviso de comando en Windows.
- Para generar un archivo de clave privada llamado privkey.pem en su directorio actual de trabajo, ingrese openssl genrsa -out privkey.pem 2048
- Ingrese openssl req -new -key privkey.pem -out request.csr
Este comando genera una CSR en formato PEM en su directorio de trabajo actual. - Cuando le solicitan la información del atributo de nombre común x509, ingrese el nombre de dominio completamente calificado (FQDN). Use otra información, según convenga.
- Siga las instrucciones de su autoridad de certificación para enviar la CSR.
Para crear un certificado temporal y autofirmado hasta que la CA emita su certificado firmado:
- Cree un archivo de texto sin formato llamado extensiones.txt.
- Agregue el siguiente texto al archivo:
basicConstraints=CA:TRUE,pathlen:0
keyUsage=digitalSignature,keyEncipherment,keyCertSign,cRLSign
extendedKeyUsage=serverAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
- Abra un terminal de Command Line Interface.
- Ingrese openssl x509 -req -dias 30 -in request.csr -signkey privkey.pem -extfile extensiones.txt -out sscert.cert
Este comando crea un certificado dentro de su directorio actual que caduca en 30 días con la clave privada y la CSR creada en el procedimiento anterior.
No se puede usar un certificado autofirmado para la autenticación de puerta de enlace remota de VPN. Recomendamos que use certificados firmados por una Autoridad de Certificación de confianza.