Hola buenas, hace poco me pidió un cliente que le generara el .csr para enviar a la entidad certificadora y lo firmen. Lo hice de esta forma:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr El caso es que el cliente se lo firmo su entidad, llamada KEYNECTIS. Sólo se les ocurre que devolver un certificado en formato PKCS#7/P7B, concretamente certificado.p7b, según he leído es para el servidor web de Microsoft el ISS y para Apache Tomcat. El caso es que le dijimos que lo necesitábamos para un apache web, normalmente lo mandan en .crt o .pem. Mirando y buscando información, que por cierto tedioso que fallaban todas las converiones con openssl, mediante windows he conseguido pasarlo de certificado.p7b a certificado.cer, luego a certificado .der al estándar .pem. Finalmente de .pem a .crt. Para instalarlo en el servidor apache se necesita como mínimo el certificado.key y el certificado.crt recién salido del horno. El .key le tengo yo de cuando generé el .csr , con lo cual sólo me queda configurar bien el ServerName y enchufar los certificados: ........... ServerName "nombre del subdominio que coincide con el del certificado y con los datos, Common Name..." ............. SSLCertificateFile /etc/ssl/certs/certificado.crt SSLCertificateKeyFile /etc/ssl/private/certificado.key Para probarlo, añado de prueba una entrada dns que apunte el subdominio a ese servidor donde los he instalado (solo para probar antes de meterlos en producción) en otra máquina con apache por https, y el caso es que coge el certificado bien pero me dice que el sitio web no es de confianza... Es decir, como si fuera un certificado autogenerado... ¿Se os ocurre por qué puede ser? He comprobado que el .crt final y el .key inicial, coincidan y sean válidos con este tutorial mediante openssl: https://kb.wisc.edu/middleware/page.php?id=4064 He instalado un montón de certificados y nunca he tenido problemas, excepto alguna conversión que me ha tocado hacer, pero la verdad este se me está resistiendo... Le he comentado al cliente que haber si la entidad certificadora le puede pasar el certificado en formato PEM... Gracias de antemano. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CAJ2aOA80 a4qisqb8cg0kykitta58xekgd+oasbp-nur9...@mail.gmail.com
