Updating CAcert.org X.509 certificates for CentOS
Ismael Olea, 15 ene 2014
My SSL/TLS certificate has expired so I need to request a new one and I'm summing here all the process.
As my current configuration is more or less a mess, I'm starting from the very begining but I assume you are registered at CAcert.org and you are able to request server certificates for your verified domains. I'll use my tormento.olea.org
server as the hostname example.
Private Key and Certificate Signing Request Generator
This script was designed to suit the request format needed by
the CAcert Certificate Authority. www.CAcert.org
Short Hostname (ie. imap big_srv www2): tormento
FQDN/CommonName (ie. www.example.com) : tormento.olea.org
Type SubjectAltNames for the certificate, one per line. Enter a blank line to finish
SubjectAltName: DNS:olea.org
SubjectAltName: DNS:www.olea.org
SubjectAltName: DNS:olea.es
SubjectAltName: DNS:www.olea.es
SubjectAltName: DNS:ismael.olea.org
SubjectAltName: DNS:
Running OpenSSL...
Generating a 2048 bit RSA private key
.............+++
................................................................................................+++
writing new private key to '/root/tormento_privatekey.pem'
-----
Copy the following Certificate Request and paste into CAcert website to obtain a Certificate.
When you receive your certificate, you 'should' name it something like tormento_server.pem
-----BEGIN CERTIFICATE REQUEST-----
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblahblahblahblahblahblah
blahblahblahblahblahblahblahblahblahblahblah
-----END CERTIFICATE REQUEST-----
The Certificate request is also available in /root/tormento_csr.pem
The Private Key is stored in /root/tormento_privatekey.pem
Note: I found the genkey
tool (from the crypto-utils
package) takes a lot of more time to generate a same key lenght. Probably due to some kind design goal. I think you could use genkey
to generate the key and the csr
script for the multi-dns CSR request.
Then I move files to correct systems places:
mv /root/tormento_privatekey.pem /etc/pki/tls/private/tormento.olea.org.key.pem
Then I ask for a certification at CAcert website. CAcert recomends to select a Class 3 root certificate.
Cut and paste the certificate from the browser into the system:
You can check the certificate is correct using openssl. And you'll receive an email from CAcert reporting about the new certificate.
Then you can configure your applications to use the new crypto key and certificate.
applications:
These are the applications I've configured for my needs. You have other configuration examples at CAcert website.
postfix
smtpd_tls_key_file = /etc/pki/tls/private/tormento.olea.org.key.pem
smtpd_tls_cert_file = /etc/pki/tls/certs/tormento.olea.org.crt.pem
smtpd_tls_CAfile = /etc/pki/tls/certs/CAcert_chain.pem
smtp_use_tls = yes
smtp_tls_key_file = /etc/pki/tls/private/tormento.olea.org.key.pem
smtp_tls_cert_file = /etc/pki/tls/certs/tormento.olea.org.crt.pem
smtp_tls_CAfile = /etc/pki/tls/certs/CAcert_chain.pem
ejabberd
Create a key + certificate file:# cat /etc/pki/tls/certs/tormento.olea.org.crt.pem >> /etc/pki/ejabberd/certs/ejabberd.pem
# chown -R ejabberd.ejabberd /etc/pki/ejabberd/
# chmod a-rw,u+r -R /etc/pki/ejabberd/
dovecot
apache
Common things you would need to do with your certificates and keys:
Export public key:
Print human readable key data:
Print human readable certificate contents:
Other info of interest
I've not studied it yet but probably it's worth to read the Fedora developments on managing system crypto keys and signatures:
Convocatoria: encuentro del taller de hardware abierto
Ismael Olea, 14 ene 2014
La chavalada, la #GenteQueHaceCosas con hardware en Almería, se ha organizado en un taller permanente de hardware abierto y ha decidido realizar su primer encuentro presencial específicamente dedicado al cacharreo.
Dirigido a
- Ti, que te mola el cacharreo.
- Para ti también, que tienes ganas locas de empezar.
- A ti también, que te dedicas profesionalmente a estos temas pero que ahora quieres jugar.
- A ti también, aunque sabemos que sólo lo haces para impresionar a las visitas.
- Tú, que no has pensado todavía qué hacer para el proyecto de fin de carrera, vente un rato y alguna idea se te puede ocurrir entre tanto disparate.
- Y a ti también, que para las pocas chicas que suelen venir no queremos que faltes. Tráete a tus amigas, por favor.
- Y si tu eres de los que ha ganado algún campeonato de Lego Mindstorms vente y explícale tu arte a todos estos aprendices.
Programa
- Charla: electrónica libre. Estado del arte y presentación de dispositivos y proyectos.
- Debate: ¿Se puede vivir haciendo electrónica libre? ¿Cómo hacerlo? ¿Qué licencias elegir? ¿Hay que patentar?
- Propuestas para definir un programa de actividades dentro de los próximos encuentros de hardware libre.
Traed vuestras propuestas. Traed a todas vuestras amistades que tengan interés. Y si tenéis vuestros propios trastos, traedlos e impresionad a los parroquianos.
Coordenadas espacio-temporales
Los amiguetes de La Oficina Cultural se prestan a darnos cobijo en su local y la cita es:20:30h
Recordad que en La Oficina hay comercio y bebercio a precios populares y que consumiendo todos un poquito les ayudamos a mantener la actividad..
¡Happy hacking!
El día que Personet reemplace a Internet
Ismael Olea, 14 ene 2014
Lo típico de que Yorokobu te pide un párrafo de prospectiva a 100 años vista y va y te sale una distopía: «el día que Personet reemplace a Internet». Así no hay manera.
Convocatoria: asamblea de gente de Almería que hace cosas con las TIC
Ismael Olea, 09 ene 2014
Tras el modesto aun cuando satisfactorio éxito del pasado «encuentro e intercambio de experiencias para emprendedores tecnológicos» surgieron montones de ideas y propuestas que abundan en las que, con mayor o menor intensidad, están desarrollando en paralelo otros colectivos de Almería como los encuentros de BetaBeers, los grupos locales de Android o GDG y, en la universidad, la veterana asociación UNIA. Por eso, durante una tormenta de ideas con Víctor Suárez hace unos días pensamos que sería una gran idea convocar a la peña para compartir todas las ideas que se están poniendo en marcha y ponernos al día con las novedades, alguna de las cuales es muy jugosa. De ahí esta convocatoria.
A la atención de
En esta ocasión el público convocado es gente con perfiles técnicos TIC muy fuertes: programación, diseño de hardware, administración de sistemas, etc, y con vocación de actividades en comunidad (talleres, conferencias, hackatones, etc) e, idealmente, afinidad por el software libre / opensource.
El acceso es completamente abierto hasta completar aforo y está
invitada cualquier persona que tenga ganas de implicarse en la
comunidad tecnológica de Almería... si es que no lo está ya. Os rogaos
que difundáis esta convocatoria y la hagáis llegar a todas las personas
inquietas de vuestros círculos sociales.
Orden del día
Básicamente esperamos hablar al menos de:
- el calendario aproximado de todas las actividades previstas, como mínimo, hasta junio;
- ajuste y coordinación de las fechas de las mismas, si procede;
- presentación de las ayudas ofrecidas al Google Developer Group local a la hora de organizar actividades y conferencias
- exposición de algunas de las actividades en gestación como:
- el hackaton presencial de programación
- el hackaton virtual
- las actividades durante la próxima Feria de las Ideas (30 de abril de 2014)
- y lo que surja.
Objetivos
Básicamente acordar un calendario de actividades sincronizado y asignarnos el trabajo de los voluntarios para cada una de ellas.
Coordenadas espacio-temporales
Los amiguetes de La Oficina Cultural se han prestado a darnos cobijo en su local y la cita es:19:00h
Recordad que en La Oficina hay comercio y bebercio a precios populares y que consumiendo todos un poquito les ayudamos a mantener la actividad.
Finalmente señalar que la reunión va a ser muy práctica pero también muy informal. Traed vuestras mejores ideas y todas las ganas para hacer de Almería un pequeño vórtice de activades TIC cañeras.
Nos vemos este viernes.