Universidad de Zaragoza
:: UNIVERSIDAD :: ESTUDIOS :: INVESTIGACION :: REL.INTERNACIONALES ::
decorativo Servicio de Informática y Comunicaciones
decorativo Foto Foto Foto Foto Foto Foto
decorativo
decorativo
decorativo
decorativo Estás en: Inicio > Servicio de Certificados de Servidor
decorativo
decorativo
decorativo
decorativodecorativoSCSdecorativo
decorativo
decorativo*Introduccióndecorativo
--------
decorativo*Condiciones del serviciodecorativo
--------
decorativodecorativoSolicituddecorativo
decorativo
decorativo*Pasos del proceso de solicituddecorativo
--------
decorativo*1. Generación de la solicituddecorativo
--------
decorativo*2. Envío de la solicituddecorativo
--------
decorativo*Desestimacion de una solicituddecorativo
--------
decorativo*Condiciones de Usodecorativo
--------
decorativodecorativoInformacióndecorativo
decorativo
decorativo*Más informacióndecorativo
--------

decorativo
SCS - Servicio de Certificados de Servidor para la comunidad RedIRIS
Proceso de Solicitud



1. GENERACION DE LA SOLICITUD DE CERTIFICADOS DE SERVIDOR SCS (CSR)

Para la generación de la solicitud se debe tener instalado OpenSSL en el servidor desde el que se van a generar las solicitudes, el cual puede no coincidir con el servidor para el que se pide el certificado.

Para generar las CSR podemos hacerlo mediante el siguiente programa: generateCSRwithSubAltName.sh el cual de forma automática nos preguntará todos los campos que conforman el DN del certificado, así como los subjectAltName (tantos como deseemos). El mismo programa genera la clave privada y la CSR.

En caso de no querer usar el anterior programa, se puede seguir las siguientes indicaciones para generar el fichero de configuración de OpenSSL.

  1. Descargamos el fichero de configuración de OpenSSL: scs_openssl_COMODO_subjectaltnames.conf

  2. Editamos el fichero anterior para definir los RDNs del Subject DN así como para añadir todos los subjectAltNames que deseemos.

    • Definición del Subject DN de la CSR.

      La política de certificación del perfil de certificados SSL declara como componentes válidos del subjectDN los siguientes RDNs:
      • Ccountry of the Organization
      • STState of the Organization (optional)
      • LLocality of the Organisation (optional)
      • OOrganisation Name
      • OUOrganisational Unit Name (optional)
      • CNContains a domain name
      • unstructuredNameContains a domain name (optional)

    Como se puede observar, algunos RDNs son obligatorios y otros optativos, de forma que si genera una CSR cuyo subjectDN no incluye todos los RDNs obligatorios, ésta será rechazada.

    Para modificar el valor de los RDNs, simplemente edite el fichero que previamente se ha descargado, y modifique los datos incluidos en la sección req_distinguished_name

 [ req_distinguished_name ]
 # Esta zona define los RDNs que contendrá el Subject DN del certificado.
 # Según la CP/CPS bajo la cual los certificados son emitidos.
 # Los valores que se declaran en la política son:
 #  C   country of the Organization
 #  ST  Stae of the Organization (optional)
 #  L   Locality of the Organisation (optional)
 #  O   Organisation Name
 #  OU  Organisational Unit Name (optional)
 #  CN  Contains a domain name
 #  unstructuredName Contains a domain name (optional)
 # Los atributos que no están comentados a continuación son obligatorios
 # y si las CSRs no los llevan no podrán ser firmadas.
 countryName         = Country Name (Código ISO 3166) # Texto que mostrará openssl cuando solicite el valor.
 countryName_default = ES # Valor por defecto que tomará openssl si no indicamos ninguno cuando lo solicite.
 # ST = Stae of the Organization (optional)
 # L  = Locality of the Organisation (optional)
 organizationName          = Organization Name (p. ej. RedIRIS)
 #organizationName_default = Your_Organization_Name
 # OU = Organisational Unit Name (optional)
 commonName         = Common Name (FQDN principal del servidor)
 commonName_default = my.server.dom.aim
 # unstructuredName = Contains a domain name (optional)
 #--------------------

  • Definición los subjectAltNames incluidos en la CSR
  • La política de certificación del perfil de certificados SSL declara que se pueden incluir en un certificado y por lo tanto en una CSR hasta 100 subjectAltName. Para lo cual, basta con editar el fichero que previamente se ha descargado, y modifique los datos incluidos en la secciónalt_names.


 [alt_names]
# En esta zona puede definir tantos nombres alternativos para el certificado
# como necesite, con un máximo de 100. 
# Para lo cual sólo debe descomentar y/o añadir tantas líneas como
# subjectAltNames desee.
# DNS.1_default = subjectAltName1.dom.ain
# DNS.2_default = subjectAltName2.dom.ain
# DNS.3_default = subjectAltName3.dom.ain
# DNS.4_default = subjectAltName4.dom.ain
#--------------------
  1. Una vez modificado el fichero scs_openssl_COMODO_subjectaltnames.conf usamos la siguiente línea de comandos para crear la CSR
openssl req -new -config scs_openssl_COMODO_subjectaltnames.conf -out server.csr

Esta orden genera una CSR en el fichero server.csr, la clave privada RSA de 2048 bits en el fichero privatekey.pem, y utilizando el fichero de configuración  scs_openssl_COMODO_subjectaltnames.conf.

Si deseáis cambiar el tipo de clave privada que se utilizará para el certificado lo podéis hacer añadiendo los siguientes parámetros:

-newkey   rsa:bits generate a new RSA key of 'bits' in size
          dsa:file generate a new DSA key, parameters taken from CA in 'file'
-keyout   Define el fichero en el que se guardará la clave privada.
-nodes    No utiliza cifrado para la clave privada 
          (por tanto no se preguntará por ninguna palabra de paso)

Si por cualquier motivo no puede usarse OpenSSL para la generación de las CSRs aceptaremos CSRs generadas por cualquier otro mecanismo (como por ejemplo las generadas por IIS, Appliances, ...)

 

2. ENVIAR LA SOLICITUD AL SERVICIO DE INFORMATICA

Paso 1:

Enviar la solicitud generada mediante correo electrónico a mjimenez@unizar.es indicando a la vez los siguientes apartados:

  • Número de años de validez del certificado: 1, 2 ó 3 (recomendado 3 años)
  • Tipo de servidor para el que se solicita el certificado, a continuación se detallan los tipos posibles:
· AOL
· Apache/ModSSL
· Apache-SSL (Ben-SSL, not Stronghold)
· C2Net Stronghold
· Cobalt Raq
· Covalent Server Software
· IBM HTTP Server
· IBM Internet Connection Server
· iPlanet
· Java Web Server (Javasoft / Sun)
· Lotus Domino
· Lotus Domino Go
· Microsoft IIS 1.x to 4.x
· Microsoft IIS 5.x to 6.x
· Netscape Enterprise Server
· Netscape FastTrack
· Novell Web Server
· Oracle
· Quid Pro Quo
· R3 SSL Server
· Raven SSL
· RedHat Linux
· SAP Web Application Server
· Tomcat
· Website Professional
· WebStar 4.x and later
· WebTen (from Tenon)
· Zeus Web Server
· Ensim
· Plesk
· WHM/cPanel
· H-Sphere
· Cisco 3000 Series VPN Concentrator
· Citrix
· Microsoft IIS 7.x and later
· OTHER

Paso 2:

  • Rellenar y firmar todas las hojas del documento de condiciones de uso.
  • Una vez firmado remitir por correo interno al Área de Comunicaciones del SICUZ.

Una vez llegue este documento al Área de Comunicaciones, se enviará desde el Área de Comunicaciones la solicitud a Rediris de manera electrónica y en un breve plazo Rediris remitirá al solicitante, vía correo electrónico, el certificado solicitado.



decorativo decorativo
decorativo
©2014 Servicio de Informática y Comunicaciones
©2014 Universidad de Zaragoza (Pedro Cerbuna 12, 50009 ZARAGOZA-ESPAÑA | Tfno. información: (34) 976-761000)
decorativo