Certificado autofirmado

Si el certificado se va a utilizar en un servidor lo mejor es no ponerle contraseña de acceso para evitar tener que introducirla cada vez que iniciemos el servidor. Si el certificado es para un usuario sí debemos protegerlo y crearlo cifrado con contraseña. Con la opción -nodes generamos un certificado sin contraseña. Para que durante la generación del certificado nos solicite la contraseña podemos usar la opción -des3

En primer lugar vamos a generar un fichero que contiene tanto la llave privada como el certificado público basado en ella. Observamos como podemos especificar la vigencia del certificado. El certificado no está cifrado con contraseña.

openssl req \
  -x509 -nodes -days 365 \
  -newkey rsa:1024 -keyout mycert.pem -out mycert.pem
            

Sin embargo, si cambiamos -nodes por -des3

openssl req \

-x509 -des3 -days 365 \

-newkey rsa:1024 -keyout mycert.pem -out mycert.pem

genera un fichero de certificado con contraseña de acceso.

Como dijimos anteriormente, el fichero recién creado contiene tanto la clave pública como la privada, y esto puede comprobarse viendo el contenido del fichero.

Ahora, interesa crear tanto la llave privada como el certificado público en ficheros distintos. El resto de las opciones serían similares.

openssl req \
  -x509 -newkey rsa:1024 -nodes \
  -keyout cert.key -out newcert.req
            

Y tendremos la llave privada en el fichero cert.key y el certificado en newcert.req.

La llave pública de una autoridad certificadora raíz tiene que ser un certificado autofirmado.