Manual solicitud certificados SSL unex.es

Nota: Ésta es la vista de impresión del Manual de referencia completo en una sola página. Si lo prefiere puede encontrar la versión original aquí.

Documento que explica cómo solicitar correctamente un certificado SSL del dominio unex.es

1. Instrucciones

cert ssl

 

¿Necesitas un certificado del domino unex.es?

Si eres miembro de la Universidad de Extremadura y necesitas un certificado SSL del dominio unex.es, desde el Servicio de Informática de la UEx podemos facilitarte uno.

Los tres tipos de certificado que puedes solicitar son:

  • OV SSL (para un único nombre, por ejemplo: subdominio.unex.es)
  • OV Multi-Domain (para varios nombres, por ejemplo: uno.unex.es y dos.unex.es)
  • Wildcard SSL (para todos los nombres bajo un dominio, por ejemplo: *.subdominio.unex.es)

Actualmente, en los tres casos, el periodo de vigencia es de 1 año.

 

¿Qué pasos debo seguir para obtener un certificado SSL?

El certificado estará vinculado a uno o varios nombres de dominio, por ejemplo: subdominio.unex.es. La misma persona que solicitó la entrada DNS debe cursar la petición del certificado SSL vinculado a ese nombre de dominio; así tendremos la seguridad de que el certificado será utilizado por la misma persona que es legítima concesionaria del nombre de servidor.

En el proceso de gestión del certificado habrá tres elementos implicados:

  • Clave privada del servidor a la que aplicaremos el principio de mínimo privilegio exponiendo ésta al menor número de personas y sistemas.
  • CSR (Certificate Signing Request): petición de solicitud del certificado firmada con la clave privada.
  • Certificado SSL y cadena de certificación. Desde el Servicio de Informática de la UEx te facilitaremos dos ficheros: FQDNname_unex_es.crt y FQDNname_unex_es_chain.crt

 

1. Generar la CSR (Certificate Signing Request).

Si no tiene experiencia con la gestión de certificados SSL, la parte más complicada puede ser generar la CSR. Aquí puedes encontrar información sobre cómo generarla en distintos entornos.

Recuerda, en ningún caso la clave privada asociada debe salir de su entorno de uso.

En un sistema Linux/UNIX, normalmente podrás hacerlo con una orden como esta:

openssl req -new -newkey rsa:2048 -nodes -out subdominio_unex_es.csr \
-keyout subdominio_unex_es.key \
-subj "/C=ES/ST=Extremadura/L=Badajoz/O=Universidad de Extremadura/OU=Centro, Servicio, Departamento/CN=subdominio.unex.es"

Esta orden creará (o sobreescribirá) la clave privada subdominio_unex_es.key. En caso de querer reutilizar una clave privada previamente existente especifícala con el parámetro -key en lugar de -keyout_:

openssl req -new -nodes -out subdominio_unex_es.csr> \
-key subdominio_unex_es.key \
-subj "/C=ES/ST=Extremadura/L=Badajoz/O=Universidad de Extremadura/OU=Centro, Servicio, Departamento/CN=subdominio.unex.es"

Nunca confíes en un proveedor de certificados que ofrezca generar la CSR o la clave privada por ti. Es una mala práctica de seguridad.

2. Solicitar la emisión del certificado.

Para solicitar el certificado sólo necesitas facilitar la CSR al personal del Servicio de Informática de la UEx. Para ello, abre un ticket en el Centro de Atención a Usuario de la UEx.

Categoría TIC -> Gestión de identidades -> Gestión de certificados

Accede con los datos de tu correo de la UEx (nombre de usuario y contraseña).

3. Esperar a recibir el certificado.

El personal del Servicio de Informática de la UEx solicitará el certificado usando la CSR adjunta. En el proceso de solicitud especificaremos el mail con el que hayas abierto el ticket en CAU como persona que solicita el certificado.

Recibirás un correo de la plataforma SECTIGO avisando de la emisión del certificado

FROM: Certificate Services Manager <support>@cert-manager.com>
SUJECT: Enrollment Successful - Your SSL certificate is ready

4. Renovar el certificado.

La vigencia de los certificados que podemos facilitarte es de 1 año.

Treinta días antes del fin de vigencia del certificado recibirás un correo de la plataforma SECTIGO con el aviso para la renovación

FROM: Certificate Services Manager <support@cert>-manager.com>) 
SUBJECT: SSL certificate for (subdominio.unex.es) AWAITING APROVAL 

Si el nombre para el que solicitaste el certificado sigue estando vigente y sigues necesitando el certificado, sólo debes pedir al Servicio de Informática de la UEx que apruebe la renovación. Para ello, abre un ticket en el Centro de Atención a Usuario de la UEx.

Categoría TIC -> Gestión de identidades -> Gestión de certificados

 

¿Por qué la UEx puede facilitarme un certificado SSL?

Desde el año 2006, RedIRIS proporciona a sus instituciones afiliadas, entre las que se encuentra la Universidad de Extremadura, un servicio por el que pueden solicitar, sin coste para ellas, múltiples tipos de certificados digitales emitidos por entidades (CA's) reconocidas a escala global.

RedIRIS presta ese servicio gracias a acuerdos colectivos negociados a escala europea entre GÉANT y diversos proveedores de servicio de certificados. El proveedor actual es Sectigo.

 

¿Por qué usar un certifiado SSL?

Puedes encontrar información general en estos dos artículos:

 

¿Qué obligaciones tengo?

Debes comprometerte a utilizar el certificado con fines legítimos y legales, así como a comunicar, tan pronto como tengas conocimiento de ello, el caso de que un tercero haya accedido a la clave privada.