Differences

This shows you the differences between two versions of the page.

--- sellos_de_tiempo_tsa_con_openssl_paso_a_paso [2020/12/25 22:57] – external edit 127.0.0.1
+++ sellos_de_tiempo_tsa_con_openssl_paso_a_paso [2021/08/04 23:14] (current) – busindre
@@ Line 35: / Line 35: @@
-Entrar en la carpeta TSA, crear la clave privada (4096 bits / Firma SHA512) y certificado para la CA.
+Entrar en la carpeta TSA, crear la llave privada (4096 bits / Firma SHA512) y certificado para la CA.
 <code bash># /usr/lib/ssl/misc/CA.pl -newcert Por defecto la seguridad es baja (SHA1)
+# RSA
 openssl req -sha512 -new -x509 -newkey rsa:4096 -keyout cakey.pem -out cacert.pem -days 365
+# EC (recomendado)
+openssl req -sha512 -new -x509 -newkey ec -pkeyopt ec_paramgen_curve:prime256v1 -keyout cakey.pem -out cacert.pem -days 365
 # Test
@@ Line 47: / Line 50: @@
 NOTA: Por defecto el certificado es válido 365 días.
-Generar una clave privada (4096 bits) y un certificado a partir de la misma. Cifrado camellia256 para el ejemplo.
+Generar una clave privada (4096 bits) y un CSR a partir de la misma. Cifrado camellia256 para el ejemplo.
-<code bash>openssl genrsa -camellia256 -out tsa.key 4096
+<code bash># RSA
+openssl genrsa -camellia256 -out tsa.key 4096
+# EC (recomendado)
+openssl ecparam -name prime256v1 -genkey -noout -out tsa.key
 openssl req -sha512 -new -key tsa.key -out tsa.csr -days 3650</code>
@@ Line 79: / Line 86: @@
 Si se va a automatizar el proceso sería interesante liberar a la clave de su passphrase.
-<code>openssl rsa -in tsa.key -out newtsa.key && cp tsa.key tsa.key.passphrase && mv newtsa.key tsa.key</code>
+<code># RSA
+openssl rsa -in tsa.key -out newtsa.key && cp tsa.key tsa.key.passphrase && mv newtsa.key tsa.key
+# EC: Consultar https://www.busindre.com/comandos_openssl_utiles_para_certificados si se cifró la llave privada EC.
+</code>
 Generamos un fichero llamado prueba con el contenido que queramos.