Certificats SSL de CAcert

cacert

Seguint els passos d’en Roman he canviat el self-signed certificate que tenia al servidor web per un certificat signat per CAcert. En menys de 10 minuts he completat tots els passos per crear-lo: et dones d’alta, generes el CSR (petició per que em signin el certificat), dones d’alta el FQDN, envies el CSR, i t’envien una copia signada del certificat, llesta per instal·lar-la al servidor (per exemple Apache).

L’script per generar el certificat, la clau privada i el CSR que jo he usat el podeu trobar aquí, i això és el que ens demana quan l’executem:

# ./subjectAltname.pl
Generate SSL Cert stuff for SAPI
FQDN/Keyname for Cert (ie www.example.com)              :pof.eslack.org
Alt Names (ie www1.example.com or <return> for none)              :lists.eslack.org
Alt Names (ie www1.example.com or <return> for none)              :
Host short name (ie imap big_srv etc)              :s0
	
Attempting openssl...
Generating a 2048 bit RSA private key
....................................+++
writing new private key to '/root/s0_privatekey.pem'
-----
	
writing csr to /root/s0_csr.pem...
	
Take the contents of /root/s0_csr.pem and go submit them to receive an SSL ID.
When you receive your public key back, you 'should' name it something like 's0_server.pem'.

Un cop enviat el CSR a CAcert ens envien el certificat signat, amb la instal·lació d’Apache per defecte de Gentoo només cal copiar-lo a /etc/apache2/ssl/server.crt i també copiar la clau privada (s0_privatekey.pem) generada per l’script anterior a /etc/apache2/ssl/server.key. Un cop fet això reiniciem l’Apache i ja tenim un certificat signat per CAcert.

Per utilitzar el certicficat SSL de CAcert amb courier-imap-ssl i courier-pop3d-ssl, hem de fer això: (rutes per defecte a la instal·lació de Gentoo)

# dd if=/dev/urandom of=/tmp/randfile count=1 2>/dev/null
# cat /root/s0_privatekey.pem /root/s0_server.pem > /etc/courier-imap/imapd.pem
# openssl gendh -rand /tmp/randfile 512 >> /etc/courier-imap/imapd.pem
# cat /root/s0_privatekey.pem /root/s0_server.pem > /etc/courier-imap/pop3d.pem
# openssl gendh -rand /tmp/randfile 512 >> /etc/courier-imap/pop3d.pem
# rm /tmp/randfile

Des de CAcert s’està intentant que el root certificate s’inclogui per defecte a la majoria de navegadors, aquí podeu veure l’estatus d’inclusions. De moment encara no està inclòs en firefox, així que si no volem que ens doni una alerta quan visitem el lloc hem d’importar el root certificate de CAcert fent click aquí.

NOTA: a tots els que mireu el correu a través del webmail de pofHQ us recomano que l’instal·leu.

This entry was posted in linux, pofHQ, security. Bookmark the permalink.

10 Responses to Certificats SSL de CAcert

  1. Juanjo says:

    Una entitat certificadora que ho fa ‘for free’? Això si que es una novetat.

  2. pof says:

    Si, for free tal com dius…. no és Verisign però per als ‘users de a pie’ ja ens va bé, no? :)

  3. […] Per importar el root certificate de CAcert a la PDA (per que reconegui el certificat que he generat en el post anterior) he seguit els següents passos: […]

  4. brainstorm says:

    Un més per el WoT, benvingut ! :-)

    Ja saps, quan vulguis t’assigno punts, i a tothom qui vulgui, clar 😉

  5. pof says:

    He contactat amb tú a través de la web de CAcert per a fer-me assurer, així que quan vulguis quedem i t’ensenyo els documents oficials amb photo ID :)

  6. pof says:

    Passos per a utilitzar els certificats de CAcert amb sendmail, suposant aquesta configuració al sendmail.cf:

    # CA directory
    O CACertPath=/etc/mail/certs
    # CA file
    O CACertFile=/etc/mail/certs/CAcert.pem
    # Server Cert
    O ServerCertFile=/etc/mail/certs/MYcert.pem
    # Server private key
    O ServerKeyFile=/etc/mail/certs/MYkey.pem
    # Client Cert
    O ClientCertFile=/etc/mail/certs/cert.pem
    # Client private key
    O ClientKeyFile=/etc/mail/certs/MYkey.pem

    Aquests son els passos per generar els fitxers:

    # wget http://www.cacert.org/certs/root.crt
    # mv root.crt CAcert.pem
    # cat /root/s0_server.pem > MYcert.pem
    # cat /root/s0_privatekey.pem /root/s0_csr.pem > MYkey.pem
    # cat /root/s0_privatekey.pem /root/s0_server.pem > cert.pem
    # chmod 600 *.pem

  7. sergi says:

    Sergi (PofHQ webmail user)……done!

    Després del “click aquí”, li vaig dir (23/11/2005) que confii per “identificar llocs webs” i “identificar usuaris de correu”, i els fingerprints coincidien tal i com diu que es comprovi al pas-4 de les instruccions pel Mozilla… Tinc un parell de “screenshots” guardats…

    Espero que tot ok… mercy i fins aviat! :)

  8. Marc @ Blog says:

    Com obtenir Certificats SSL amb CAcert

    Fa uns dies que vaig actualitzar els certificats que utilitzo pels serveis ssl. La raó va ser perquè fins ara els certificats que feia servir eren self-signed, el que provocava un warning cada vegada que intentava establir una conexió ssl, avisan…

  9. […] També m’he enterat de que el dia 29 per la nit després de la xarrada de Seth Hardy titulada Breaking Down the Web of Trust es farà una key signing party on intentaré conseguir el màxim nombre de punts de CACert, ara en tinc 35 que em va donar el brainstorm, el meu objectiu és aconseguir-ne 100 (màxim a través de WoT) per poder ser assurer, i si es possible un cop arribi als 100 donar punts a més gent per obtenir 2 punts per cada assurance i arribar als 150. […]

  10. pof says:

    Per configurar un servidor jabber amb ssl:

    # cat /root/s0_server.pem /root/s0_privatekey.pem > /etc/jabber/gentoo.pem
    # chmod 600 /etc/jabber/gentoo.pem
    # chown jabber /etc/jabber/gentoo.pem

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>