CAcert.org

El otro dia descubri CAcert.org que intenta ser un sitio para verificar certificados, pero de forma gratuita. Asi que me puse a firmar el certificado que uso en la web de binware para que este verificado por CAcert.org

Cree un mismo certificado para web/pop3/smtp/ftp, no se si esto es seguro o no, pero por ahora lo he echo asi, si no es seguro, que alguien me corrija.

Lo primero que hice fue crearme una cuenta en CAcert.org

Luego me cree mi certificado y lo deje sin contraseña para que no me la pida cada vez que arranque el servicio:

openssl genrsa -des3 -out pass.key 2048
openssl rsa -in pass.key -out server.key

Despues creamos el CSR (Certificate Signing Request) para poder enviarselo a CAcert.org

openssl req -new -nodes -key server.key -out server.csr

Despues hacemos login en CAcert.org y añadimos una cuenta de mail y un dominio. Una vez echo esto hay que añadir un certificado de servidor y ahi es donde pastearemos nuestro csr, en pocos segundos tendremos nuestro certificado firmado. Guardamos el certificado como server.crt.

Con esto ya tenemos para el apache

SSLCertificateFile    /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/server.key

Para courier necesitamos un .pem asi que lo creamos de la siguiente manera:

cat server.key server.crt > server.pem
openssl gendh >> server.pem

Luego modificamos /etc/courier/pop3d-ssl y apuntamos el certificado a /etc/ssl/server.pem

TLS_CERTFILE=/etc/ssl/server.pem

Modicamos proftpd.conf

TLSRSACertificateFile   /etc/ssl/server.pem
TLSRSACertificateKeyFile        /etc/ssl/server.key

Para activar el TLS en postfix, primero necesitamos el root CA de CAcert.org

wget https://www.cacert.org/certs/root.crt -O cacert.pem

y luego hay que modifcar lo siguiente en /etc/postfix/main.cf

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/ssl/server.key
smtpd_tls_cert_file = /etc/ssl/server.pem
smtpd_tls_CAfile = /etc/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Ahora podemos decir que binware esta certificado por CAcert ;P

CAcert Secured Site
Updated: 2006-10-18 16:21:34

One Comment to “CAcert.org”