Pandora: Documentation es: Tentacle es: OpenSSLCertificates

From Pandora FMS Wiki
Jump to: navigation, search

Volver al Índice del protocolo Tentacle


1 Documentación

2 Guía rápida de certificados OpenSSL

Esta es una guía rápida de iniciación en certificados de OpenSSL para su uso con Tentacle u otras aplicaciones. Para más información puede consultar la web oficial del proyecto OpenSSL: https://www.openssl.org/docs/ .


2.1 Creación de un certificado

Preparación del entorno:

$ mkdir demoCA
$ mkdir demoCA/newcerts
$ mkdir demoCA/private

Recuerde establecer, por seguridad, permisos de escritura y lectura de los diferentes usuarios en su sistema en las carpetas recién creadas. El siguiente paso es realizar un certificado de CA autofirmado y moverlo a los directorios creados:

$ openssl req -new -x509 -keyout cakey.pem -out cacert.pem
$ mv cakey.pem demoCA/private/
$ mv cacert.pem demoCA/

Rellene los campos solicitados para el certificado y recuérdelos bien porque se necesitarán de nuevo más adelante, exactamente iguales. Ahora debe crear una petición de certificado:

$ openssl req -new -keyout tentaclekey.pem -out tentaclereq.pem -days 360

Firmar la petición de certificado, estableciendo además un seriado consecutivo de los mismos como mecanismo de control y auditoría:

$ cat tentaclereq.pem tentaclekey.pem > tentaclenew.pem
$ touch demoCA/index.txt
$ echo "01" >> demoCA/serial
$ openssl ca -out tentaclecert.pem -in tentaclenew.pem

Tenga en cuenta que de presentar el archivo de semilla aleatorio algún inconveniente, puede borrarlo con derechos de usuario root: sudo rm ~/.rnd. De esta manera puede ser creado de nuevo con sus propios derechos de escritura y lectura. Usted es el único responsable de dicha clave root.

2.2 Crear un certificado autofirmado

$ openssl req -new -x509 -keyout tentaclekey.pem -out tentaclecert.pem -days 360

2.3 Generar una llave privada RSA

Esto es muy útil para evitar tener que meter una contraseña en el lado cliente usando Tentacle.

Generar la llave:

$ openssl genrsa -out tentaclekey.pem

Y sustituir -keyout con -key en las secciones anteriores.

2.4 Exportar certificado a otro formato

Los certificados pueden necesitarse en formato DER en lugar de PEM para algunos sistemas operativos (como Ubuntu® o Windows®). Si es el caso, se puede obtener el certificado en ese formato a partir del PEM generado:

openssl x509 -outform der -in tentaclecert.pem -out tentaclecert.der

Volver al Índice del protocolo Tentacle