cacert

Seguint els passos d'en Roman he canviat el self-signed certificate que tenia al servidor web per un certificat signat per CAcert. En menys de 10 minuts he completat tots els passos per crear-lo: et dones d'alta, generes el CSR (petició per que em signin el certificat), dones d'alta el FQDN, envies el CSR, i t'envien una copia signada del certificat, llesta per instal·lar-la al servidor (per exemple Apache).

L'script per generar el certificat, la clau privada i el CSR que jo he usat el podeu trobar aquí, i això és el que ens demana quan l'executem:

# ./subjectAltname.pl
Generate SSL Cert stuff for SAPI
FQDN/Keyname for Cert (ie www.example.com)              :pof.eslack.org
Alt Names (ie www1.example.com or <return> for none)              :lists.eslack.org
Alt Names (ie www1.example.com or <return> for none)              :
Host short name (ie imap big_srv etc)              :s0

Attempting openssl...
Generating a 2048 bit RSA private key
....................................+++
writing new private key to '/root/s0_privatekey.pem'
-----
writing csr to /root/s0\_csr.pem... Take the contents of /root/s0\_csr.pem and go submit them to receive an SSL ID. When you receive your public key back, you 'should' name it something like 's0\_server.pem'.

Un cop enviat el CSR a CAcert ens envien el certificat signat, amb la instal·lació d'Apache per defecte de Gentoo només cal copiar-lo a `/etc/apache2/ssl/server.crt` i també copiar la clau privada (s0_privatekey.pem) generada per l'script anterior a `/etc/apache2/ssl/server.key`. Un cop fet això reiniciem l'Apache i ja tenim un certificat signat per CAcert.

Per utilitzar el certicficat SSL de CAcert amb courier-imap-ssl i courier-pop3d-ssl, hem de fer això: (rutes per defecte a la instal·lació de Gentoo)

```
# dd if=/dev/urandom of=/tmp/randfile count=1 2\>/dev/null # cat /root/s0\_privatekey.pem /root/s0\_server.pem \> /etc/courier-imap/imapd.pem # openssl gendh -rand /tmp/randfile 512 \>\> /etc/courier-imap/imapd.pem # cat /root/s0\_privatekey.pem /root/s0\_server.pem \> /etc/courier-imap/pop3d.pem # openssl gendh -rand /tmp/randfile 512 \>\> /etc/courier-imap/pop3d.pem # rm /tmp/randfile
```

Des de CAcert s'està intentant que el _root certificate_ s'inclogui per defecte a la majoria de navegadors, [aquí](http://wiki.cacert.org/wiki/InclusionStatus) podeu veure l'estatus d'inclusions. De moment encara no està inclòs en firefox, així que si no volem que ens doni una alerta quan visitem el lloc hem d'[importar](http://wiki.cacert.org/wiki/BrowserClients) el [root certificate](http://www.cacert.org/index.php?id=3) de CAcert fent click [aquí](http://www.cacert.org/certs/root.crt).

**NOTA:** a tots els que mireu el correu a través del webmail de pofHQ us recomano que l'instal·leu.