Novedades

5-Marzo-2025 certificados SSL OV

Ya tenemos disponible a través del nuevo proveedor (Harica) los certificados SSL de tipo OV.

Introducción y soporte

El ASIC proporciona al resto de la comunidad universitaria un servicio de certificados SSL gratuito para los equipos de la red local de la universidad y el dominio upv.es


Para acceder a este servicio es necesario:


Si tiene dudas o problemas puede contactar con los gestores que prestan soporte a través de la aplicación Poli[Consulta]; https://policonsulta.upv.es/


Contacte con soporte con antelación si necesita un certificado tipo GRID o IGTF


Por limitaciones de la infraestructura que gestiona los certificados, no es posible autorizar certificados cuya lista de nombres alcancen o superen los 999 caracteres, incluyendo espacios.

Esto es, la lista de todos los nombres incluidos en el certificado, por ejemplo;

prueba.sub.upv.es 
prueba2.sub.upv.es
prueba3.upv.es
prueba4.subdominio.upv.es

No deben superar los 999 caracteres en total. Si es el caso, trocee la solicitud en varias solicitudes más pequeñas que encajen dentro de este límite.


Solicitud de un certificado SSL

Todo el proceso de solicitud de un certificado SSL consta de estos pasos:

  1. Generar el CSR previamente (paso optativo, pero recomendado).
  2. Introducir la solicitud a través de un formulario en la web de Harica.
  3. Esperar a que un gestor apruebe la solicitud, comprobando que el solicitante está autorizado en los subdominios que corresponda.
  4. Recoger el fichero de certificado de la web de Harica.
  5. Instalarlo en el servidor.


Paso 1. Generar el CSR (optativo y recomendado)

Existen dos posibilidades de gestión de la clave privada del certificado; generarla nosotros mismos (opción recomendada) o delegar en Harica la generación de la clave privada.

Si deseamos generar y controlar nosotros la clave privada del certificado realizaremos los pasos de este apartado. En caso contrario, si deseamos delegar en Harica la generación de la clave privada, no se realizará este paso y se continuará directamente con el paso 2.

Paso 1.0 Preparación del entorno

Para la generación del CSR utilizaremos la herramienta "openssl" en un equipo Linux o Mac. 

  • Utilice un equipo linux o Mac con openssl. Si no dispone de uno, puede utilizar Windows con cualquier distribución WSL. No es necesario que sea el mismo equipo donde se instalará el certificado.
  • Genere una carpeta de trabajo para almacenar los ficheros que genere. Dentro de esta carpeta genere una subcarpeta con la fecha, para organizar sus solicitudes a lo largo del tiempo.
  • Compruebe que dispone de la herramienta openssl con la instrucción:
$ openssl version


Paso 1.1 Revisar o modificar el fichero .conf

Crearemos un fichero llamado certificado.conf con este contenido. Sustituya el texto "prueba.sub.upv.es" por el nombre de dominio de su equipo en las dos secciones en las que aparece.

HOME= .

#--------------------------------------------------------------------- 
[ req ]
string_mask = utf8only
default_bits = 2048
default_keyfile = certificado.key
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
 
[ req_distinguished_name ]
C = ES
# En caso de certificados Grid quitad los acentos a la UPV porque se detectan problemas
O  = "Universitat Politècnica de València"
CN = prueba.sub.upv.es

[ req_ext ]
basicConstraints  = CA:FALSE
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
 
subjectAltName = @alt_names
 
[alt_names]
DNS.0 = prueba.sub.upv.es


El formato del fichero .conf ha cambiado respecto de los que se usaban anteriormente. El cambio concreto es la existencia de una entrada alt_names con el nombre principal del equipo.

Evite reutilizar ficheros .conf anteriores a febrero de 2025.


Si el certificado es multidominio y desea incluir varios SAN (subject alternative names) añada las entradas que necesite como en el siguiente ejemplo:

HOME= .

#--------------------------------------------------------------------- 
[ req ]
string_mask = utf8only
default_bits = 2048
default_keyfile = certificado.key
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
 
[ req_distinguished_name ]
C = ES
# En caso de certificados Grid quitad los acentos a la UPV porque se detectan problemas
O  = "Universitat Politècnica de València" 
CN = prueba.sub.upv.es

[ req_ext ]
basicConstraints  = CA:FALSE
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
 
subjectAltName = @alt_names
 
[alt_names]
DNS.0 = prueba.sub.upv.es
DNS.1 = prueba2.sub.upv.es
DNS.2 = prueba3.upv.es
DNS.3 = prueba4.subdominio.upv.es

¡IMPORTANTE! Compruebe que el nombre principal del equipo aparece repetido en dos lugares.

Paso 1.2 Generar la clave privada

Antes de generar la clave privada, elija qué algoritmo usar; RSA o ECDSA (también conocido como ECC). 

    • ECDSA es el más moderno, ofrece mejor rendimiento y es el recomendado por sus ventajas.
    • RSA es compatible con todos los sistemas, incluso con los sistemas antiguos.
    • Si no sabe cuál escoger, elija RSA.

Si desea usar ECDSA ejecute esta instrucción;

$ openssl ecparam -genkey -name prime256v1 -out certificado.key

Si desea usar RSA ejecuta esta otra;

$ openssl genrsa -out certificado.key 4096


Paso 1.3 Generar el CSR

Utilice la siguiente instrucción para generar el fichero CSR, que utilizará en los siguientes pasos.

$ openssl req -new -sha256 -config certificado.conf -key certificado.key -out certificado.csr




Paso 2. Introducir la solicitud en la página web de Harica

Paso 2.1 Entrar en la web de Harica

Entramos a la página de Harica en esta dirección;

http://www.upv.es/id/336

Este enlace redirige a la página de solicitud de certificados, que en el contrato actual corresponde con la web de Harica https://cm.harica.gr

En la página de login, escogeremos la opción "Academic Login"

Escribimos "upv" y seleccionamos "UPV - Universitat Politècnica de València"

Nos llevará a la página de login de la UPV, donde utilizaremos nuestras credenciales para iniciar sesión.

Si todo ha ido bien llegaremos a la siguiente página de Harica;


Paso 2.2 Rellenar los datos de la solicitud 

En el menú de la izquierda pulsamos sobre la opción "SERVER"

Podemos poner el nombre que queramos;

Si hemos realizado el paso 1 pulsaremos el botón "IMPORT" para introducir el CSR que hemos generado anteriormente.

Si después de importar el fichero CSR, el sistema no reconoce automáticamente los nombres, se debe a que el CSR no tiene el formato adecuado. En concreto, este error es debido a que el nombre de dominio principal no está incluido en el apartado [alt_names]. Vuelva a generar el CSR con especial atención en el paso 1.1.

Si no hemos realizado el paso 1, rellenaremos a mano los nombres de dominio para los que se emitirá el certificado. IMPORTANTE; evite demoras innecesarias indicando sólo los dominios a los que está autorizado. Sólo se aprobarán aquellas solicitudes cuyos nombres de dominio estén asociados a equipos responsabilidad del solicitante, según la aplicación corporativa de inventario. Si tiene dudas, contacte con soporte antes de realizar la solicitud.

Se pueden elegir entre dos tipos de certificados;

  • "DOMAIN ONLY (DV)"
  • "FOR ENTERPRISES OR ORGANIZATIONS (OV)"

Los dos tipos funcionan igual en todas las situaciones. La única diferencia es que el segundo incluye un texto "Organization: UPV" que el primero no añade. Pero este texto es meramente informativo y no es necesario para el funcionamiento. Puede elegir entre cualquiera de ellos ya que ambos se instalan igual y funcionan igual. 

Ejemplo de certificado tipo OV donde aparece resaltado el texto que no tienen los certificados DV:


Seleccione entre DV o OV y pulse el botón "NEXT"


Lea las condiciones legales del servicio, y si está conforme con todas ellas, marque el recuadro correspondiente y el botón "NEXT"

Si hemos realizado el paso 1 utilizaremos el botón "SUBMIT CSR MANUALLY" e introduciremos (de nuevo) el CSR que hemos generado (del que ya tenemos la clave privada).

Si no hemos realizado el paso 1, rellenaremos con los siguientes datos.

  • Elija entre el algoritmo RSA o ECDSA. 
    • ECDSA es el más moderno, ofrece mejor rendimiento y es el recomendado por sus ventajas.
    • RSA es compatible con todos los sistemas, incluso con los sistemas antiguos.
    • Si no sabe cuál escoger, elija RSA.
  • Todas las opciones de "key size" son válidas excepto RSA 2048

RSA 2048 no está autorizado por el CCN para su uso en AAPP. No lo utilice.

  • Escriba una contraseña de mínimo 8 caracteres. Anótela en una ubicación temporal, la necesitará más adelante para instalar el certificado en el servidor.

Este paso no es necesario si ha subido manualmente el CSR, pues ya disponemos de la clave privada generada por nosotros mismos. Para el caso de CSR autogenerado, en la siguiente ventana pulse el enlace "DOWNLOAD" para descargar la clave privada generada por HARICA. ¡CUIDADO! si no realiza este paso antes de cerrar la ventana no podrá instalar el certificado que se va a generar, y deberá repetir todo el proceso desde el principio.




Paso 3. Esperar a que un gestor apruebe su solicitud

Al terminar el paso anterior aparecerá una nueva entrada en la ventana principal bajo el epígrafe "PENDING CERTIFICATES"

Si mueve el ratón sobre el texto "Waiting for 1 task" encontrará el mensaje "Please wait our validators to validate your request".


Paso 4. Descargar el certificado

Recibirá una notificación por correo electrónico tanto si se ha aceptado como si se ha rechazado su solicitud.

Si se ha aceptado su solicitud entre en la página de Harica para descargar el certificado:

http://www.upv.es/id/336

En el apartado "VALID CERTIFICATES" aparecerá una entrada que le permitirá descargar su certificado.


Todas las opciones contienen el mismo certificado pero en distintos formatos, elija el formato más adecuado según sus instrucciones de instalación.

  • PEM bundle - Es el formato más común. Si no sabe cuál elegir, escoja éste. El paquete que incluye el certificado generado más certificados intermedios. Si tiene problemas relacionados con la cadena de certificados, utilice este formato.
  • PEM - Paquete con el certificado (sin la cadena de certificados intermedios). Se usa habitualmente cuando la cadena de certificados intermedios se debe instalar a parte.



Paso 5. Instale el certificado en el servidor y realice comprobaciones

Este paso se detalla aquí; 2 - Instalación de un certificado SSL