[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

(Solucionado) Re: [OFF-TOPIC] Ayuda con conversión certificado formato PKCS#7/P7B Format a PEM Apache Web

El 12 de septiembre de 2014, 0:34, Maykel Franco
<maykeldebian@gmail.com> escribió:
>
>
> El 11/09/2014 15:53, "Maykel Franco" <maykeldebian@gmail.com> escribió:
>
>
> >
> >
> > El 11/09/2014 15:42, "Camaleón" <noelamac@gmail.com> escribió:
> >
> > >
> > > El Thu, 11 Sep 2014 13:28:26 +0200, Maykel Franco escribió:
> > >
> > > > Hola buenas, hace poco me pidió un cliente que le generara el .csr
> > > > para enviar a la entidad certificadora y lo firmen. Lo hice de esta
> > > > forma:
> > > >
> > > > openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out
> > > > yourdomain.csr
> > > >
> > > > El caso es que el cliente se lo firmo su entidad, llamada KEYNECTIS.
> > >
> > > (...)
> > >
> > > Asegúrate de que esa entidad está reconocida en el 99% de los navegadores
> > > y de que genera el tipo de certificado que necesita tu cliente. Por los
> > > datos que leo en su web no me queda del todo claro:
> > >
> > > http://www.opentrust.com/en/certification-policy
> > >
> > > Saludos,
> > >
> > > --
> > > Camaleón
> > >
> > >
> > > --
> > > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> > > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> > > Archive: [🔎] pan.2014.09.11.13.41.09@gmail.com">https://lists.debian.org/[🔎] pan.2014.09.11.13.41.09@gmail.com
> > >
> >
> > Umm pues necesito que sea reconocido sobre todo por los mas demandados, chrome, firefox, iexplorer... En ese enlace no deja nada claro. Lo único que se me ocurre es googlear. Estoy 99% seguro de que he convertido bien el certificado. He realizado unas pruebas con OpenSSL verificando los datos que devolvía del .key y del .crt y coincidían el modulus y el md5 ... Umm aunque me pasen el crt desde la entidad me pasara 3/4 lo mismo. Lo único que se me ocurre es googlear y buscar a ver la compatibilidad de esa entidad con los navegadores... Lo que tu has comentado. Otra cosa no se me ocurre...
> >
> > Gracias por contestar y por la ayuda.
>
> Descartado que no lo soporte la mayoría de navegadores puesto que he comprobado que tienen ellos un dominio que funciona por https perfectamente  y con la misma entidad certificadora. Pediré el certificado directamente en crt haber si asi funciona sin quejarse por https.
>
> Gracias nuevamente.


Buenas, para quien le interese he conseguido solventarlo...Me ha
costado bastantes horas pero estas cosas son lo que tiene...

El problema era, aparte de que no era un certificado de apache web,
era para ISS y para Tomcat al ser format p7b, que se necesita de un
certificado intermediario, además del certificado normal, para que el
navegador valide correctamente la entidad certificadora que ha firmado
el certificado.

Comento lo que he realizado:

- Editar el certificado (estaba mal formateado) y ponerlo en su
formato correspondiente, con saltos de linea y añadiendo al inicio y
al final:

"-----BEGIN PKCS7-----" and "-----END PKCS7-----"

- Convertir el certificado de cert.p7b a cert.cer. Una vez echo esto,
hay que extraer de dentro el .crt principal y el intermediate.crt para
que no falle en los navegadores.

http://blog.oneiroi.co.uk/openssl/x.509/pcks7/openssl-unable-to-load-certificate-wrong-asn1-encoding-routines-asn1-check-tlen-tag-tasn-dec-dot-c-1319/

Y wala....

Gracias por todo y sobre todo tu ayuda Camaleón, gracias.

Salvado por la campana, vaya marronazo que me he quitado...Se me
iluminó la bombilla esta mañana...

Saludos.
Reply to: