¿Cómo solicitar un certificado de servicio/servidor?


Procedimiento de solicitud de certificado pkIRISGrid para SERVICIO/SERVIDOR

Lo primero que debemos hacer, es buscar la RA más cercana a o la que nos corresponda, esto lo podemos hacer consultando la lista de RAs disponibles

Como ejemplo vamos a hacer que nuestra RA sea la RAT28 - RedIRIS-Test

Una vez dentro de la RAT 28, tenemos dos opciones para solicitar un certificado de servicio/servidor según el navegador web que estemos usando. En caso de usar un navegador web de tipo Mozilla, solicitaremos el certificado mediante el enlace Mozilla. En el caso de que estemos usando Internet Explorer solicitaremos el certificado mediante el enlace IE

Generar CSR con Mozilla o con IE

Navegador basado en Mozilla

Una vez que estamos en el formulario para la solicitud del certificado, los datos que debemos introducir son:
  • Identificador IRISGrid: Es el identificador que identifica a un servicio/servidor dentro de IRISGrid. Podemos encontrar una descripción más detallada y algunos ejemplos aquí
  • Nombre y Apellidos: De la persona responsable del servidor o del servicio para el que se solicita el certificado.
  • Clave de Usuario: Es la clave que le servirá para verificar su identidad ante una petición de su RA.
  • Teléfono: Un telefono de contacto por si surge cualquier imprevisto.
  • Email: Su dirección de correo electrónico. La cual se puede publicar o no en el certificado
  • PIN para el certificado: Este PIN nos será solicitado posteriormente por el administrador de nuestra RA, para verificar que somos quien realmente ha hecho la solicitud. Por lo que es importante no olvidarlo.
Formulario relleno con los datos del servidor

Cuando hayamos rellenado todos los datos, pulsamos el botón continuar, lo que nos llevará a la generación de la CSR (de forma automática) por el navegador web. Al ser el certificado para un servicio/servidor, se recomienda que el tamaño de la clave privada sea 2048 bits, aunque este valor se puede modifica. Pulsamos el boton continuar. Comprobando antes que todos los datos son corretos.

Comprobación de los datos introducidos y generación de la CSR

La generación del par de claves (privada y pública), puede tardar algún tiempo, dependiendo del tamaño de la clave y de la potencia de la máquina. Mientras tanto observaremos lo siguiente:

Generación de las claves publica y privadas

Una vez generadas las claves, y si todo ha ido correctamente, se nos notificará que la solicitud ha sido aceptada tal y como se muestra en la siguiente figura:

Solicitud aceptada

Ahora sólo nos queda presentarse ante el administrador de su RA, para verificar que somos quienes realmente hemos hecho la solicitud. Una vez que el administrador confirme nuestra solicitud, éste deberá exportarla hacia la CA (Autoridad de Certificación), donde se encargan de emitir el certificado que hemos solicitado. Cuando el certificado haya sido hemitido por la CA, recibiremos un correo electrónico como el siguiente:

Asunto: pkIRISGrid CA: Certificado -->a28b175c1<-- disponible para su descarga
--
Hola Daniel,

Ha sido generado un certificado para el identificador IRISGrid:
squirtle.rediris.es

Puede descargarlo desde:

https://pki.irisgrid.es/rat28/crt_get.php


Un saludo

Nos dirigimos a la URL que nos indican en el correo electrónico, y rellenamos los datos que allí nos solicitan, que simplemente es el identificador del certificado solicitado squirtle.rediris.es para este ejemplo.

Rellenar formulario con el identificados del certificado solicitado

A continuación nos muestran los datos de nuestro certificado. Así como el certificado completo; también aparece una advertencia que nos dice que sólo podemos descargar el certificado si usamos el mismo navegdor desde el que realizamos la solicitud. Esto de debe a que es el navegador web quien tiene la clave privada de dicho certificado, y por tanto es el único capaz de descargarlo.

Información sobre la descarga del certificado

El navegador web nos pedirá la "master password for the Security Software Device", si aún no la hemos introducido. Una vez introducida esta contraseña (que es pripia del navegador web), el certificado será descargado.

Descargando el certificado al navegador web

Para comprobar que el certificado se ha descargado correctamente, abrimos las preferencias del navegador; y en concreto la gestión de certificados. (Esto puede variar de unas versiones a otras de los navegadores, pero la idea es la misma en todos ellos). Hacemos que el navegador nos muestre los certificados, en concreto Mis Certificados. Y comprobamos que esté ahí el certificado que acabamos de instalar en el navegador.

Comprobación del certificado descargado

Ahora sólo nos queda exportarlo para poder instalar el certificado en el servidor para el cual ha sido solicitado.

Finalización de pkIRISGrid CA