• Servicios
• SCS
• Documentación

Disponemos de 2 opciones para la generación de la CSR, usar una aplicación proporcionada por RedIRIS o ejecutar manualmente el comando openssl con un fichero de configuración que deberá configurar según sus necesidades.

1. Uso de la herramienta scs-genCSR.sh

Para generar las CSRs podemos hacerlo mediante el programa scs-genCSR.sh el cual, de forma automática, nos preguntará todos los campos que conforman el DN del certificado, así como los subjectAltName (tantos como deseemos). El mismo programa genera la clave privada y la CSR.

Tiene disponibles diferentes versiones dependiendo del algoritmo que use:

• scs-genCSR.sh - SHA-256 y UTF-8 por defecto (Rafael Varela Pet - USC)
• scs-genCSR-sha2.sh - SHA-256
• scs-genCSR-sha1.sh - SHA-1 (obsoleto)

2. Uso de OpenSSL y fichero de configuración manual

En caso de no querer usar el anterior programa, se puede seguir las siguientes indicaciones para generar el fichero de configuración de OpenSSL.

1. Descargamos el fichero de configuración de OpenSSL scs_openssl_COMODO_subjectaltnames.conf
2. Editamos el fichero anterior para definir los RDNs del Subject DN así como para añadir todos los subjectAltNames que deseemos.

   Tenga en cuenta el sub-perfil elegido (SSL, Multi-domain SSL, Wildcard) ya que no podrá usar nombres alternativos en los perfiles SSL y Wildcard.

   • Definicion del Subject DN de la CSR

     La política de certificación del perfil de certificados SSL declara como componentes válidos del subjectDN los siguientes RDNs:

     • C country of the Organization
     • ST State of the Organization (optional)
     • L Locality of the Organisation (optional)
     • O Organisation Name
     • OU Organisational Unit Name (optional)
     • CN Contains a domain name
     • unstructuredName Contains a domain name (optional)

     Como se puede observar, algunos RDNs son obligatorios y otros optativos, de forma que si genera una CSR cuyo subjectDN no incluye todos los RDNs obligatorios (C, O, CN), ésta será rechazada.

     Para modificar el valor de los RDNs, simplemente edite el fichero que previamente se ha desgargado, y modifique los datos incluidos en la sección req_distinguished_name

      [ req_distinguished_name ]
      # Esta zona define los RDNs que contendrá el Subject DN del certificado.
      # Según la CP/CPS bajo la cual los certificados son emitidos.
      
      # Los valores que se declaran en la política son:
      #  C   country of the Organization
      #  ST  Stae of the Organization (optional)
      #  L   Locality of the Organisation (optional)
      #  O   Organisation Name
      #  OU  Organisational Unit Name (optional)
      #  CN  Contains a domain name
      #  unstructuredName Contains a domain name (optional)
      
      # Los atributos que no están comentados a continuación son obligatorios
      # y si las CSRs no los llevan no podrán ser firmadas.
     
      countryName         = Country Name (Código ISO 3166) # Texto que mostrará openssl cuando solicite el valor.
      countryName_default = ES # Valor por defecto que tomará openssl si no indicamos ninguno cuando lo solicite.
      
      # ST = Stae of the Organization (optional)
      # L  = Locality of the Organisation (optional)
      
      organizationName          = Organization Name (p. ej. RedIRIS)
      #organizationName_default = Your_Organization_Name
     
      # OU = Organisational Unit Name (optional)
     
      commonName         = Common Name (FQDN principal del servidor)
      commonName_default = my.server.dom.aim
     
      # unstructuredName = Contains a domain name (optional)
      #--------------------
     		

   • Definición los subjectAltNames incluidos en la CSR

     La pólitica de certificación del perfil de certificados SSL declara que se pueden incluir en un certificado y por lo tanto en una CSR hasta 100 subjectAltName. Para lo cual, basta con editar el fichero que previamente se ha desgargado, y modifique los datos incluidos en la sección alt_names.

      [alt_names]
     # En esta zona puede definir tantos nombres alternativos para el certificado
     # como necesite, con un máximo de 100. 
     # Para lo cual sólo debe descomentar y/o añadir tantas líneas como
     # subjectAltNames desee.
     # 
     # DNS.1_default = subjectAltName1.dom.ain
     # DNS.2_default = subjectAltName2.dom.ain
     # DNS.3_default = subjectAltName3.dom.ain
     # DNS.4_default = subjectAltName4.dom.ain
     #--------------------
     		

3. Una vez modificado el fichero scs_openssl_COMODO_subjectaltnames.conf usamos la siguiente línea de comandos para crear la CSR

   openssl req -new -config scs_openssl_COMODO_subjectaltnames.conf -out server.csr

   Esta orden genera una CSR en el fichero server.csr, la clave privada RSA de 2048 bits en el fichero privatekey.pem, y utilizando el fichero de configuración scs_openssl_COMODO_subjectaltnames.conf.

   Si deseais cambiar el tipo de clave privada que se utilizará para el certifiado lo podeis hacer añadiendo los siguientes parámetros:

   -newkey   rsa:bits generate a new RSA key of 'bits' in size
             dsa:file generate a new DSA key, parameters taken from CA in 'file'
   -keyout   Define el fichero en el que se guardrá la clave privada.
   -nodes    No utiliza cifrado para la clave privada 
             (por tanto no se preguntará por ninguna palabra de paso)
   	

   Si por cualquier motivo no puede usarse OpenSSL para la generación de las CSRs aceptaremos CSRs generadas por cualquier otro mecanismo (como por ejemplo las generadas por IIS, Appliances, ...)