P0L0's Blog Opensource Projects and IT experiences

9Mar/061

CAcert.org

El otro dia descubri CAcert.org que intenta ser un sitio para verificar certificados, pero de forma gratuita. Asi que me puse a firmar el certificado que uso en la web de binware para que este verificado por CAcert.org

Cree un mismo certificado para web/pop3/smtp/ftp, no se si esto es seguro o no, pero por ahora lo he echo asi, si no es seguro, que alguien me corrija.

Lo primero que hice fue crearme una cuenta en CAcert.org

Luego me cree mi certificado y lo deje sin contraseña para que no me la pida cada vez que arranque el servicio:

openssl genrsa -des3 -out pass.key 2048
openssl rsa -in pass.key -out server.key

Despues creamos el CSR (Certificate Signing Request) para poder enviarselo a CAcert.org

openssl req -new -nodes -key server.key -out server.csr

Despues hacemos login en CAcert.org y añadimos una cuenta de mail y un dominio. Una vez echo esto hay que añadir un certificado de servidor y ahi es donde pastearemos nuestro csr, en pocos segundos tendremos nuestro certificado firmado. Guardamos el certificado como server.crt.

Con esto ya tenemos para el apache

SSLCertificateFile    /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/server.key

Para courier necesitamos un .pem asi que lo creamos de la siguiente manera:

cat server.key server.crt > server.pem
openssl gendh >> server.pem

Luego modificamos /etc/courier/pop3d-ssl y apuntamos el certificado a /etc/ssl/server.pem

TLS_CERTFILE=/etc/ssl/server.pem

Modicamos proftpd.conf

TLSRSACertificateFile   /etc/ssl/server.pem
TLSRSACertificateKeyFile        /etc/ssl/server.key

Para activar el TLS en postfix, primero necesitamos el root CA de CAcert.org

wget https://www.cacert.org/certs/root.crt -O cacert.pem

y luego hay que modifcar lo siguiente en /etc/postfix/main.cf

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/ssl/server.key
smtpd_tls_cert_file = /etc/ssl/server.pem
smtpd_tls_CAfile = /etc/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Ahora podemos decir que binware esta certificado por CAcert ;P

CAcert Secured Site
Updated: 2006-10-18 16:21:34
Share:
  • Print
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • email
  • LinkedIn
  • Meneame
  • Twitter

Enjoy this article?

Consider subscribing to our rss feed!

Tagged as: , , , Leave a comment
Comments (1) Trackbacks (0)
  1. Julian
    December 9th, 2006 - 16:05

    Gracias,,,Me funcionó muy bien

    ( REPLY )

Leave a comment


No trackbacks yet.

« Courier Trashquota Nos mudamos! »

Google Ads

Friends Blogs

Partners

Comics

  • La Legión del Espacio
  • Tira Ecol
  • Tira Linux Hispano

Tags

adsl apache apple binware bkp canon coche comedy css debian download eclipse firefox games hosting IDE isp javascript linux MacOSX microsoft Misc mootools mysql p2p photos php postfix powerbook projects python roundcube security smartphone starwars svn teaser telefonica tv show vhcs video webmail windows wordpress xbox

Most Viewed

License

Blog under the Creative Commons Attribution-ShareAlike 3.0 License
Creative Commons License