Professional Documents
Culture Documents
LABORATORIO Nº 6
1. OBJETIVO
2. INFORME PREVIO
3. DESARROLLO TEÓRICO
3.1. CACERT:
3.2. OPENSSL
4. DESARROLLO DE LA PRÁCTICA
Realizar las siguientes operaciones para comprobar el funcionamiento del certificado raíz
Antes de firmar un certificado personal hay que seguir un proceso en que la entidad emisora
pueda verificar de alguna manera toda la información contenida en el certificado. En el caso
los certificados de la Casa de la Moneda (FNMT) se verifica el nombre y el NIF (campo CN
del subject), pero no se verifica la dirección de correo electrónico (campo E del subject). Sin
embargo, en el caso de CAcert no se verifica el nombre y sí se verifica la dirección de correo.
Crear una cuenta en CAcert mediante el botón join (sólo se pueden generar certificados
digitales después de crear la cuenta)
Entrar mediante "password login" (notar que el momento de pedir login/password se
activa el modo seguro https)
Seleccionar Client Certificates/New
Generar el certificado
¿en qué momento se ha validado la dirección de correo?
Es muy importante guardar copia de seguridad de los certificados. Para ellos los
guardaremos en ficheros seguros (Formato p12) que se pueden enviar por correo
electrónico o copiar a un flash.
El certificado raíz también se puede exportar, en este a caso a fichero PEM (extensión
.crt) que no va cifrado porque es información pública. No es imprescindible porque se
puede volver al instalar desde la web CAcert
Enviar por correo electrónico los ficheros y recodar (o apuntar en otro sitio) el login y
la clave de acceso a CAcert, y las claves de los ficheros .p12
El comando pkcs12 de openssl permite convertir un fichero .p12 en un fichero .pem que
contiene tanto la clave pública como la privada.
openssl pkcs12 -in certificado.p12 -out certificado.pem
A continuación podemos utilizar el comando rsa para extraer en otro fichero .pem sólo la
clave pública y sólo la clave privada.
openssl rsa -in certificado.pem -out clave_publica.pem -pubout
openssl rsa -in certificado.pem -out clave_privada.pem
Para cifrar ficheros grandes se suelen combinar algoritmos simétricos con asimétricos.
Realizar con openssl los siguientes pasos para poder enviar por correo electrónico un
archivo grande.
4.12.2.Cifrar el resumen
4.12.4.Verificar la firma
Realizar los siguientes pasos para verificar la integridad del documento recibido:
Para cifrar ficheros también se pueden utilizar los comandos smime, que es el estándar
utilizado en el correo electrónico.
openssl smime -sign -in bigfile.doc -out bigfile.msg -signer certificado.pem
Enter pass phrase for certificado.pem: xxxxxx
NOTA: Puede ser necesario hacer la conversión a .pem utilizando la opción -clcerts (ver
P6aclaracion.pdf)
5. CUESTIONARIO
6. CONCLUSIONES
7. RECOMENDACIONES
8. BIBLIOGRAFÍA
http://www.cacert.org/help.php?id=2&lang=es_ES
http://www.softwarelibre.org.bo/esteban/files/86/228/openssl02.pdf
www.openssl.org/