Quiero generar un certificado raíz y un certificado SSL (autofirmado) para la comunicación entre un dispositivo integrado y nuestros servidores backend (IIS 8.0).
Usé OpenSSL para generar un certificado con los siguientes pasos:
Así es como creé el certificado raíz:
openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -days 7305 -in ca.csr -out ca.crt -signkey ca.key
Luego hice el certificado SSL de esta manera:
openssl genrsa -out mydomain.com.key 2048
openssl req -new -key mydomain.com.key -out mydomain.com.csr
openssl x509 -req -days 7305 -in mydomain.com.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out mydomain.com.crt
Todo esto funcionó bien.
Después de importar en IIS, obtengo los siguientes conjuntos de cifrado compatibles:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Mi dispositivo integrado solo puede manejar:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
Sé que la limitación no se encuentra en nuestra configuración de Windows ni en nuestro IIS, ya que los sitios alojados en ese mismo servidor web (con nuestro certificado GoDaddy), son compatibles con las 4 de estas suites.
Supongo que debo generar el certificado de otra manera. Simplemente no sé cómo ...