Configuraciones SSL/TLS en Linux a partir de ficheros PFX


Desde hace años llevo solicitando certificados de servidor a la Fábrica Nacional de Moneda y Timbre (FNMT). Como normalmente no los pido yo solamente, al final alguien termina solicitándo el certificado desde un Internet Explorer en una estación de trabajo Windows. Una vez se ha solicitado, y se ha generado ya no hay posibilidad de marcha atrás, y sólo queda esperar a que nos llegue el certificado ya firmado por la CA. Una vez nos llega, se suele descargar/instalar en el equipo desde el que se realizó la solicitud, y pasa, que en la mayoría de los casos, el certificado era para un servicio en algún servidor GNU/Linux.

Para exportarlo lo que suelo hacer es:

  1. Exportar el certificado y la clave privada en un fichero PFX
  2. Llevar el fichero PFX al servidor Linux donde necesito instalar el certificado
  3. Ejecuto el comando:
    openssl pkcs12 -in FICHERO.PFX  -out EXPORTADO.TXT -chain -nodes
  4. Luego saco dos copias del fichero:
    cp EXPORTADO.TXT SERVER.key
    cp EXPORTADO.TXT SERVER.crt
  5. Edidar cada uno de los servidores SERVER.* para dejar sólo la clave y el certificado en formato Base64.

La imagen la he sacado de http://blog.securitymonks.com/2008/05/22/scanner-for-debian-openssl-vulnerability/, buscando en google-images el texto OpenSSL.

No hay comentarios: