Hoy en día en muchas redes locales es normal que hayan servicios internos utilizando cifrado en protocolos como podría ser http, imap, smtp y más y al hacer uso de dichos servicios pueden saltar alertas de que el certificado no es válido.

Esto se produce debido a que no ha sido certificado por una entidad certificadora autorizada para solventar eso abría que pedir un Wildcard que no sale nada barato, pero tenemos otra solución completamente gratuita.

Generar nuestro propio certificado de entidad certificadora (CA) para nuestros equipo de la red lan.

Generar nuestro CA

Nos vamos a la consola y ejecutamos los siguientes comandos.

openssl genrsa -out ca.key 4096  
openssl req -new -x509 -days 1826 -key ca.key -out ca.crt  

El primer comando se encarga de generar una clave para poder firmar cualquier certificado que queramos usar en nuestra red lan.

El segundo comando generara un certificado que deberá ser instalado en todos los equipos de nuestra red lan para indicar que los certificados firmados por dicha entidad certificadora son validos.

Y guardamos los anteriores ficheros generados como oro en paño que no caiga en manos de nadie.

Generar el certificado para un dominio interno.

Una vez tengamos esto hecho el anterior paso ahora vamos a generar un certificado para el dominio de nuestra lan interna.

Pondré de ejemplo un certificado para el dominio alesander-interno.com

Generamos nuestra clave privada primero con el siguiente comando.

openssl genrsa -out alesander-interno.key 4096  

Una vez tengamos nuestro certificado tenemos que generar un fichero CSR como si fuéramos a pedir un wildcard o pedir un certificado para un subdominio en concreto.

openssl req -new -key alesander-interno.key -out alesander-interno.csr  

Ahora con la solicitud CSR podemos generar un certificado para el dominio alesander-interno.com validado por nuestro propia firma CA generata en el paso anterior.

openssl x509 -req -days 3650 -sha256 -in alesander-interno.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out alesander-interno.crt  

Y ya podemos utilizar nuestro certificado junto con la clave privada para los servicios internos.

© 2017. All Rights Reserved.