¿Cómo crear un certificado de servidor a partir de un certificado de letsencrypt.org?

Question

¿Cómo crear un certificado de servidor a partir de un certificado de letsencrypt.org?

#1 de Crypt32 (5 votos)

1

He creado un certificado de letscrypt.org con letsencrypt run que funciona bien como un certificado SSL en apache2 . ¿Cómo puedo crear otro certificado de servidor firmado (y por lo tanto de confianza) con el certificado de letsencrypt.org?

Intenté crear una CSR con

openssl req -new -key file.key -out file.csr

que asumo que puedo firmar con

openssl x509 -extensions server_cert -req -in file.csr -CA /etc/letsencrypt/live/[domain name]/fullchain.pem -CAkey /etc/letsencrypt/live/[domain name]/privkey.pem -CAcreateserial -out file.pem -days 500 -sha256

El resultado es el SEC_ERROR_INADEQUATE_KEY_USAGE en firefox 47.0 en Ubuntu 16.04.

Supongo que el certificado resultante es de confianza como lo es el certificado de letsencrypt.org, ya que la cadena de confianza no debe romperse. El certificado a crear no es necesario. Quiero crearlo con el fin de aprender en caso de que esta pregunta no revele que estoy solicitando algo imposible.

certificates certificate-authority letsencrypt

pregunta Karl Richter 20.07.2016 - 19:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates certificate-authority letsencrypt

¿No deberíamos todos estar protegidos por NATing? Cómo asegurar la página de inicio de sesión habilitada para JavaScript sin TLS

score 5 · Accepted Answer

No puede usar su certificado SSL comprado en Let's Encrypt para firmar otros certificados. Para hacer esto, su certificado debe ser certificado de CA. Esto se hace estableciendo isCA=true en la extensión de certificado BasicConstraints . Además, la extensión KeyUsages debe incluir un bit keyCertSign habilitado.

Su certificado SSL no tiene tal configuración y nadie le dará tal información.

Lo que necesita es adquirir otro certificado del proveedor de CA (por ejemplo, Let's Encrypt).

Editar: Como nota al margen. Puede adquirir un certificado de CA de CA públicas, sin embargo, es bastante caro. Los costos del servicio son miles y miles de dólares. Además, tendrá que comprar un Módulo de seguridad de hardware (HSM) que es bastante caro ($ 5k + para tarjeta PCI y alrededor de $ 30k + para HSM neto como Thales nCipher). Y tendrá que pasar auditorías externas para verificar el cumplimiento de la política. Este procedimiento se llama Firma de Raíz de Autoridad de Certificación. Escribí un artículo sobre el tema: enlace

Sospecho que este no es tu caso, por lo que, como sugirió @crovers, solo necesitas adquirir otro certificado de Let's Encrypt como lo hiciste para tu dominio.