Configuración Openssl

En la configuración de Openssl lo que vamos a hacer es establecer una autoridad certificadora y emitir los certificados necesarios, tanto para las conexiones cifradas como para el acceso EAP-TLS.

Crear una autoridad certificadora

Tenemos que crear una estructura de directorios adecuada u las llaves privada y pública, así como un fichero  índice para los certificados generados por esta autoridad.

Crear la estructura de directorios

        mkdir -p /etc/pki/CA
        mkdir -p /etc/pki/CA/certs
        mkdir -p /etc/pki/CA/crl
        mkdir -p /etc/pki/CA/newcerts
        mkdir -p /etc/pki/CA/private

Crear el fichero índice

Simplemente creamos el fichero

        touch /etc/pki/CA/index.txt

Crear los certificados de la CA

Vamos a crear el certificado con una caducidad de 10 años, 3650 días:

  openssl req -new -keyout /etc/pki/CA/private/cakey.pem \
                      -out /etc/pki/CA/careq.pem
 openssl ca -create_serial -out /etc/pki/CA/cacert.pem –days 3650 -batch \
                      -keyfile /etc/pki/CA/private/cakey.pem -selfsign \
                      -extensions v3_ca \
                      -infiles /etc/pki/CA/careq.pem

Y con esto tenemos creada la autoridad certificadora. Es importante conservar la contraseña de la llave privada que hemos utilizado puesto que es la clave que vamos a necesitar para firmar los certificados emitidos por esta autoridad certificadora.

 

Dar a conocer a nuestra Autoridad Certificadora

cp  /etc/pki/CA/cacert.pem /etc/pki/ca-trust/source/anchors/
update-ca-trust

Creación de certificados