20.6. Generar una clave
Tiene que ser root para generar una clave.
Primero, cámbiese al directorio /etc/httpd/conf. Elimine la clave y el certificado simulados que se generaron durante la instalación con los siguientes comandos:
rm ssl.key/server.key rm ssl.crt/server.crt |
A continuación, necesita crear su propia clave aleatoria. Cambie al directorio /usr/share/ssl/certs y escriba el comando siguiente:
make genkey |
Su sistema mostrará un mensaje similar al siguiente:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Necesita teclear una palabra de paso. Para mayor seguridad, su palabra de paso debe incluir, al menos, ocho caracteres, incluyendo números y símbolos de puntuación, y no ser una palabra que esté incluida en un diccionario. También, recuerde que su palabra de paso es sensible a las mayúsculas.
 | Nota |
|---|---|
Necesitará acordarse de su palabra de paso para poder introducirla cada vez que inicie su servidor Web seguro; así que no la olvide. |
Le será requerido que reintroduzca su contraseña, para verificar que es correcta. Una vez que la haya tecleado correctamente, será creado un archivo llamado /etc/httpd/conf/ssl.key/server.key, que contendrá dicha clave.
Observe que si no quiere teclear la palabra de paso cada vez que comience su servidor seguro, necesitará usar los dos comandos siguientes en vez de make genkey para crear su clave.
Utilice el siguiente comando para crear su clave:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
Luego, utilice el comando siguiente para asegurarse que los permisos de su clave están correctamente asignados:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
Después de usar los comandos anteriores para crear su clave, no necesitará utilizar una contraseña para comenzar su servidor Web seguro.
 | Atención |
|---|---|
El desactivar la contraseña para su servidor web seguro es un riesgo de seguridad. NO le recomendamos que lo haga. |
Los problemas asociados con no usar la contraseña están directamente relacionados al mantenimiento de la seguridad en el sistema de la máquina. Si por ejemplo, un individuo sin escrúpulos compromete la seguridad UNIX estándar de la máquina, ésta persona podrá obtener su clave privada (el contenido de su archivo server.key). La clave podría ser usada para servir páginas web que aparenten estar en su servidor web.
Si las labores de seguridad de UNIX son rigurosamente mantenidas en el sistema (todos los parches y actualizaciones del sistema operativo son instalados tan pronto como están disponibles, no se ejecutan servicios innecesarios o peligrosos, etc.), la contraseña del servidor seguro puede parecer innecesaria. Sin embargo, desde que su servidor Web seguro no necesita ser reiniciado muy a menudo, la seguridad extra proporcionada por la introducción de la contraseña es un pequeño esfuerzo que vale la pena en muchos casos.
El archivo server.key debe ser propiedad del usuario root de su sistema y no debe ser accesible por nadie más. Haga una copia de seguridad de dicho archivo y guárdela en un lugar seguro. Necesitará la copia de seguridad por que si pierde el archivo server.key después de haberlo usado para crear su certificado, el susodicho certificado no funcionará más y la CA no podrá ayudarle. Su única solución será pedir (y volver a pagar por ello) un nuevo certificado.
Si va a adquirir un certificado de una CA, continue con la Sección 20.7. Si va a generar su propio certificado autofirmado, vaya a la Sección 20.8.