Tipos de certificado digital disponibles
En la UPV se dispone de un servicio que proporciona certificados digitales emitidos por una entidad de certificación global y de confianza. Los certificados digitales que se pueden obtener son los siguientes;
- Certificados SSL para identificación de servidores. Léase más abajo para más información
- Certificados para el correo
- para cuentas personales; Véase Certificado electrónico personal
- para cuentas institucionales o departamentales. Se solicita y se gestiona a través de GREGAL.
- Certificados para firma de código (Code Signing Certificates); se solicita a través de GREGAL.
Además de lo anterior, proporcionamos guía y soporte para la instalación de certificados de representante de persona jurídica, aunque es un trámite que se realiza con la FNMT.
Certificados SSL
Los certificados SSL son archivos digitales que sirven para identificar un recurso o servidor bajo un nombre DNS. Por ejemplo; miservidor.upv.es
Los certificados SSL tienen varios usos;
- Configurar HTTPs en servidores web. Por ejemplo "
https://miservidor.upv.es/" - Autenticar los servidores por Escritorio remoto. Véase; 2.1 Certificados Para Escritorio remoto
Solicitud
En todos los casos la solicitud se realiza de la misma manera;
- Debe disponer de un usuario con permisos en piolín para iniciar la solicitud en PIOLIN > EQUIPOS > Petición de certificados para servidores.
- Lea atentamente las instrucciones de la página
- Introduzca la solicitud rellenando los campos que se piden.
- Cuando los tramitadores hayan terminado el proceso de generación de certificado recibirá un correo electrónico para descargar el certificado.
Elegir el tipo de clave; ECC o RSA
Existen dos algoritmos criptográficos principales para la generación de las claves que componen los certificados;
- Criptografía de curva elíptica o ECC. Es la opción recomendada. Este algoritmo ofrece más rendimiento y seguridad. Elija esta opción por defecto.
- Criptografía RSA. Algoritmo criptográfico más antiguo, pero también el que ofrece mayor compatibilidad con sistemas obsoletos. Elija esta opción si ha instalado un certificado con ECC y no funciona.
Las directrices del ENS para algoritmos criptográficos exigen un tamaño mínimo para la clave RSA de 2048 bits. El tamaño recomendado para claves RSA es 3072 bits.
Caducidad de los certificados SSL; 1 año
La caducidad de los certificados SSL siempre es un valor fijo; 1 año. Esta es una limitación impuesta por nuestro proveedor de certificados que a su vez sigue las recomendaciones del CAB-FORUM, que a día de hoy recomienda que sea como máximo un año. Es posible que en el futuro la caducidad se reduzca aún más.
El campo caducidad de la solicitud de piolín no tiene relación con la caducidad del certificado generado. Este campo sólo se utiliza para configurar alertas por correo por una próxima expiración del certificado.
Certificados tipo GRID / IGTF
Existe un tipo especial de certificados SSL conocimos como GRID o IGTF. Sólo se utilizan en equipos de investigación.
Este tipo de certificados requiere modificar el fichero .conf antes de generar el CSR y antes de introducir la solicitud en el sistema.
El cambio que hay que hacer consiste en eliminar los acentos en el fichero .conf;
ANTES DE EDITAR;
DESPUES DE EDITAR;
Después de hacer este cambio en el fichero .conf se puede generar el CSR y después se introduce la solicitud en piolín, como se indica en el procedimiento de Piolín.
Certificados para iLO
Algunos servidores tienen una página de administración conocida como "iLO" para arrancarlos, reiniciarlos, etc.
Generalmente, estas páginas permiten instalar certificados proporcionados por terceros para acceder al panel de administración.
La mayor parte de los casos tendrá una opción para poder generar el fichero CSR directamente. Si es el caso, introduzca la solicitud CSR que ha generado a través del iLO en el formulario de alta de piolín y continúe el procedimiento.
En estos casos, la generación de la clave y la instalación del certificado no se realiza con instrucciones "openssl" como se indica en la ayuda del formulario del piolín. Deberá seguir las instrucciones del fabricante para la instalación del certificado.
Certificados para Papercut
No inicie la solicitud del formulario de piolín hasta que se le indique.
Introducción
Los servidores Papercut están basados en Java, y por lo tanto gestionan los certificados digitales en un almacén específico. Las instrucciones del formulario de piolín no son aplicables en este caso.
Seguiremos las instrucciones del fabricante Papercut para generar e instalar un certificado.
Compruebe que el tamaño de la clave RSA generada es de al menos 2048 bits, o del tamaño recomendado 3072 bits
Procedimiento
Fuente;
- Hacer backup y borrar el fichero my-ssl-keystore
- Generar un nuevo my-ssl-keystore con una clave privada RSA de 2048
keytool -keystore "c:\Archivos de Programa\Papercut MF\server\custom\my-ssl-keystore" -alias jetty -genkeypair -keyalg RSA -keysize 2048
- Generar el CSR:
keytool -certreq -alias jetty -keystore "c:\Archivos de Programa\Papercut MF\server\custom\my-ssl-keystore" -file "c:\Archivos de Programa\Papercut MF\server\custom\jetty.csr"
- Rellenar y enviar solicitud de certificado en piolin sólo a partir de la parte de rellenar la solicitud (no seguir las instrucciones de generar clave privada)
- Nos descargamos el certificado raíz de Geant desde aquí; 2 - Instalación del certificado digital
- Importamos al almacén el cetificado raíz de Geant (es necesario para que se considere válido)
keytool -keystore "c:\Archivos de Programa\Papercut MF\server\custom\my-ssl-keystore" -importcert -alias globaltrustroot -file c:\certif_new\cadena.pem
NOTA, no hace falta instalar certificado intermedio.
- De piolin descargamos el .pem y lo renombramos como .crt
- Instalamos el certificado CRT en el almacén;
keytool -keystore "c:\Archivos de Programa\Papercut MF\server\custom\my-ssl-keystore" -import -alias jetty -file c:\certif_new\jetty.crt -trustcacerts
- Modificamos el fichero server.properties de papercut
- Reinciamos el servidor de papercut