Re: Certificado SSL para apache

To: Alvaro Uría <fermatNOSPAM@rigel.deusto.es>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Certificado SSL para apache
From: Marcelo Morales <marcelo@redcetus.com>
Date: Tue, 22 Feb 2005 08:52:59 -0400
Message-id: <[🔎] 57c8a17ac6c87dcc23ad97d5aed2c888@redcetus.com>
In-reply-to: <[🔎] 20050222111127.38e051fe.fermatNOSPAM@rigel.deusto.es>
References: <[🔎] 20050222111127.38e051fe.fermatNOSPAM@rigel.deusto.es>

Hola

El hecho que un certificado caduque se ha colocado por una cuestión deseguridad. Se supone que para romper un certificado se necesita tiempo,si ese tiempo ya ha pasado uno ya no puede garantizar la seguridad delmismo. Es una cuestión de poder computacional y criptografía... lasllaves privadas y los certificados digitales deben renovarse en eltiempo, al igual que los CAs.

Te sugiero que lo crees nuevamente. Si es auto-firmado, el CA con elque firmas (que debe ser otro fichero que no nos muestras) puedefirmarlo nuevamente y tus clientes (si tienen este CA instalado) no sedarán cuenta del cambio. Creo que este no es el caso y no veo otraalternativa que tus clientes "acepten" nuevamente el certificado. Paraevitar un posible ataque de "man in the middle" puedes mandarles elfingerprint por un medio seguro para que lo acepten. Si tu servicioestá en Internet..... ni modo :(


Saludos

Marcelo Morales

On Feb 22, 2005, at 6:11 AM, Alvaro Uría wrote:

[ por favor, CC-arme las respuestas, que no estoy suscrito. Gracias ;)]
Buenos días!
He estado buscando howtos y manuales para renovar un certificado sslpara
apache que está a punto de caducar, pero no he encontrado la forma de
hacerlo para que conserve la misma clave pública (es decir, la misma
firma).

La cosa es que tengo 3 ficheros:

* fich.crt : conteniene el certificado creado (es el que se modifica al
intentar renovarlo)
* fich.csr: es el Certificate Signing Request, y no se modifica alintentar
renovarlo
* fich.key: es la clave privada, y tampoco se modifica al intentar
renovarlo.

El comando que uso para intentar renovar el certificado es:

openssl x509 -req -days 365 -in fich.csr -signkey fich.key -out
fich.crt

El problema es que al intentar entrar en la web por https, me vuelve a
pedir que acepte el 'nuevo' certificado (que es self-signed porcierto).
¿Sabéis si existe alguna forma de renovar un certificado, o necesitocrear
uno nuevo con X días de duración?
Por otro lado, ¿por qué no darle una duración infinita en el caso deque
se pueda renovar?

Muchas gracias de antemano :)

Saludos,
  Alvaro Uría

Reply to:

References:
- Certificado SSL para apache
  - From: Alvaro Uría <fermatNOSPAM@rigel.deusto.es>

Prev by Date: Re: memoria
Next by Date: Re: Desmontando unidades (con gnome)
Previous by thread: Certificado SSL para apache
Next by thread: dpkg: Listar paquetes por categorías
Index(es):
- Date
- Thread