El 12 de septiembre de 2014, 0:34, Maykel Franco
maykeldeb...@gmail.com escribió:
El 11/09/2014 15:53, Maykel Franco maykeldeb...@gmail.com escribió:
El 11/09/2014 15:42, Camaleón noela...@gmail.com escribió:
El Thu, 11 Sep 2014 13:28:26 +0200, Maykel Franco escribió:
Hola buenas, hace poco me pidió un cliente que le generara el .csr
para enviar a la entidad certificadora y lo firmen. Lo hice de esta
forma:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out
yourdomain.csr
El caso es que el cliente se lo firmo su entidad, llamada KEYNECTIS.
(...)
Asegúrate de que esa entidad está reconocida en el 99% de los navegadores
y de que genera el tipo de certificado que necesita tu cliente. Por los
datos que leo en su web no me queda del todo claro:
http://www.opentrust.com/en/certification-policy
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
listmas...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.09.11.13.41...@gmail.com
Umm pues necesito que sea reconocido sobre todo por los mas demandados,
chrome, firefox, iexplorer... En ese enlace no deja nada claro. Lo único
que se me ocurre es googlear. Estoy 99% seguro de que he convertido bien el
certificado. He realizado unas pruebas con OpenSSL verificando los datos
que devolvía del .key y del .crt y coincidían el modulus y el md5 ... Umm
aunque me pasen el crt desde la entidad me pasara 3/4 lo mismo. Lo único
que se me ocurre es googlear y buscar a ver la compatibilidad de esa
entidad con los navegadores... Lo que tu has comentado. Otra cosa no se me
ocurre...
Gracias por contestar y por la ayuda.
Descartado que no lo soporte la mayoría de navegadores puesto que he
comprobado que tienen ellos un dominio que funciona por https perfectamente
y con la misma entidad certificadora. Pediré el certificado directamente en
crt haber si asi funciona sin quejarse por https.
Gracias nuevamente.
Buenas, para quien le interese he conseguido solventarlo...Me ha
costado bastantes horas pero estas cosas son lo que tiene...
El problema era, aparte de que no era un certificado de apache web,
era para ISS y para Tomcat al ser format p7b, que se necesita de un
certificado intermediario, además del certificado normal, para que el
navegador valide correctamente la entidad certificadora que ha firmado
el certificado.
Comento lo que he realizado:
- Editar el certificado (estaba mal formateado) y ponerlo en su
formato correspondiente, con saltos de linea y añadiendo al inicio y
al final:
-BEGIN PKCS7- and -END PKCS7-
- Convertir el certificado de cert.p7b a cert.cer. Una vez echo esto,
hay que extraer de dentro el .crt principal y el intermediate.crt para
que no falle en los navegadores.
http://blog.oneiroi.co.uk/openssl/x.509/pcks7/openssl-unable-to-load-certificate-wrong-asn1-encoding-routines-asn1-check-tlen-tag-tasn-dec-dot-c-1319/
Y wala
Gracias por todo y sobre todo tu ayuda Camaleón, gracias.
Salvado por la campana, vaya marronazo que me he quitado...Se me
iluminó la bombilla esta mañana...
Saludos.
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive:
https://lists.debian.org/CAJ2aOA8fDBj2q10G3DUwXgYcH8dNpj=fheb+sf77ufscp_p...@mail.gmail.com