La correcta implementación de SSL es crucial para la seguridad y el éxito de un sitio web. Y, con tantos propietarios de sitios web que aprenden sobre SSL por primera vez, es esencial equiparlos con todas las herramientas y utilidades necesarias. Una de estas herramientas es OpenSSL. ¿Qué es OpenSSL y por qué es tan importante?
La siguiente guía cubre todos los aspectos de esta útil utilidad, incluyendo cómo utilizar OpenSSL y los diversos comandos de OpenSSL para una gestión fácil y eficiente de SSL.
Índice
¿Qué es OpenSSL?
OpenSSL es una biblioteca de criptografía que ofrece una aplicación de código abierto del protocolo TLS. Permite a los usuarios realizar varias tareas relacionadas con SSL, como la generación de CSR (Certificate Signing Request), la generación de claves privadas y la instalación de certificados SSL.
¿Para qué se utiliza OpenSSL?
Para instalar un certificado SSL en su sitio web, debe seguir unos pasos obligatorios, que son los mismos para cualquier servidor o cliente de correo electrónico. OpenSSL es especialmente útil cuando no tienes un panel de control web o quieres agilizar todo el proceso.
Con unos pocos comandos de OpenSSL, puede generar la solicitud de firma de certificado y la clave privada, instalar los archivos SSL en su servidor, combinar archivos, convertir su certificado en varios formatos SSL, verificar la información del certificado y solucionar cualquier posible problema.
Dado que no todos los servidores ofrecen interfaces de usuario web para la gestión de SSL, en algunas plataformas OpenSSL es la única solución para importar y configurar su certificado.
Cómo utilizar OpenSSL
OpenSSL es todo líneas de comandos. Todo lo que tiene que hacer es aprender algunos comandos comunes de OpenSSL y, con cada nuevo certificado, el proceso de configuración será más rápido y sencillo.
Lanzado por primera vez en 1998, OpenSSL está disponible para sistemas Linux, Windows, macOS y BSD. La mayoría de las distribuciones de Linux vienen con OpenSSL precompilado.
¿Cómo comprobar si OpenSSL está instalado en Linux?
Para comprobar si OpenSSL está instalado en su sistema Linux, utilice los siguientes comandos.
Para distribuciones GNU/Linux que utilizan paquetes rpm:
rpm -qa | grep -i openssl
Para distribuciones GNU/Linux que utilizan paquetes deb:
dpkg -l | grep -i openssl
Para Arch Linux use:
pacman -Q openssl
¿Cómo utilizar OpenSSL en Windows?
Si utiliza un sistema Windows, puede descargar OpenSSL desde aquí.
La instalación por defecto creará un directorio para el programa en su unidad C – C:\OpenSSL-Win32
Para ejecutar el programa, vaya al directorio C:\ OpenSSL-Win32\bin y haga doble clic en el archivo openssl.exe. Se abrirá una ventana de texto con un mensaje OpenSSL>.
Introduce los comandos OpenSSL que necesites en este prompt. Los archivos que generes estarán en este mismo directorio. Los comandos de OpenSSL para Windows son idénticos a los utilizados en los servidores Linux.
Comandos comunes de OpenSSL
A continuación hemos reunido algunos comandos comunes de OpenSSL para usuarios habituales. Utilícelos siempre que desee generar o gestionar sus certificados.
Compruebe la versión de OpenSSL
Es imprescindible saber qué versión de OpenSSL tienes, ya que determina qué algoritmos y protocolos criptográficos puedes utilizar. Puede comprobar su versión de OpenSSL ejecutando el siguiente comando:
openssl versión -a
Generar una CSR con OpenSSL
Puede utilizar OpenSSL para crear su código CSR (Certificate Signing Request). Ejecute el siguiente comando para generar la CSR:
openssl req -new -key sudominio.key -out sudominio.csr
También puede enviar su información dentro de la propia línea de comandos con ayuda del modificador -subj.
Este comando desactivará las preguntas:
openssl req -new -key sudominio.key -out sudominio.csr -subj "/C=US/ST=CA/L=San Francisco/O=Su Empresa, Inc./OU=IT/CN=sudominio.com"
También puede crear un CSR mediante una herramienta generadora de CSR.
Generar la clave privada con OpenSSL
Para generar su clave privada, debe especificar el algoritmo de clave, el tamaño de la clave y una frase de contraseña opcional. El algoritmo de clave estándar es RSA, pero también puede seleccionar ECDSA para situaciones específicas. Cuando elijas un algoritmo de claves, asegúrate de que no tendrás problemas de compatibilidad. En este artículo, sólo mostramos cómo generar una clave privada mediante el algoritmo RSA.
Para el tamaño de su clave, debe elegir 2048 bits si utiliza el algoritmo de clave RSA, y 256 bits si utiliza el algoritmo ECDSA. Cualquier tamaño de clave inferior a 2048 no es seguro, mientras que un valor superior puede ralentizar el rendimiento.
Por último, debes decidir si necesitas una frase de contraseña para tu clave privada o no. Tenga en cuenta que algunos servidores no aceptan claves privadas con frases de contraseña.
Una vez que esté listo para generar su clave privada (con el algoritmo RSA), ejecute los comandos siguientes:
openssl genrsa -out sudominio.key 2048
Este comando creará el archivo sudominio. key en el directorio actual. Tu clave privada estará en formatoPEM.
Ver la información de la clave privada con OpenSSL
Puede ver el contenido codificado de su clave privada mediante el siguiente comando:
cat sudominio.key
Descifrar la clave privada con OpenSSL
Para descifrar su clave privada, ejecute el siguiente comando:
openssl rsa -text -in sudominio.key -noout
Extraer la clave pública con OpenSSL
Para extraer tu clave pública de la clave privada, utiliza el siguiente comando:
openssl rsa -in sudominio.key -pubout -out sudominio_public.key
Cree su clave privada y CSR a la vez con OpenSSL
OpenSSL es tan versátil que también existe un comando para generar tanto tu clave privada como tu CSR:
openssl req -out yourdomain.csr -new -newkey rsa:2048 -nodes -keyout yourdomain.key
Este comando genera la clave privada sin frase de contraseña (-keyout sudominio.key) y el código CSR (out sudominio.csr).
Compruebe la información CSR con OpenSSL
Para asegurarse de que ha proporcionado la información correcta antes de enviar la CSR a su CA, ejecute el siguiente comando:
openssl req -text -in sudominio.csr -noout -verify
Enviar la CSR a la CA
Ejecute el siguiente comando para ver y copiar todo el contenido del CSR:
cat sudominio.csr
Asegúrese de incluir las etiquetas –BEGIN CERTIFICATE REQUEST– y –END CERTIFICATE REQUEST-, y péguelo todo en el formulario de pedido de su proveedor de SSL.
Comprobar un certificado en OpenSSL
Después de que su CA le envíe el certificado SSL a su bandeja de entrada, ejecute el siguiente comando para asegurarse de que la información del certificado coincide con su clave privada.
openssl x509 -text -in sudominio.crt -noout
Con esto concluye nuestra lista de comandos comunes de OpenSSL. Si quieres, puedes estudiar todos los comandos de OpenSSL.
Conclusión
Ahora que ya sabes qué es OpenSSL y cómo funciona, puedes utilizar sus comandos para generar, instalar y gestionar certificados SSL en varios servidores. Utilizar OpenSSL es, a veces, la única opción cuando no se dispone de un panel de alojamiento web.
Puede que tarde un poco en sentirse cómodo con los comandos de OpenSSL, pero cuanto más los utilice, mejor será la gestión de certificados SSL.
Si buscas más información sobre qué es OpenSSL y cómo funciona, este libro gratuito es un recurso excelente.
Preguntas frecuentes
SSL/TLS es un protocolo criptográfico que cifra las comunicaciones entre dos aplicaciones informáticas a través de una red.
Por otro lado, OpenSSL es una utilidad criptográfica que utiliza líneas de comandos para gestionar la generación, instalación e identificación de certificados SSL/TLS.
Copiar enlace
Sí, OpenSSL es de uso gratuito para fines comerciales y no comerciales.
Copiar enlace
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
