Paso 3: Crear el par de certificado de cliente/servidor usando OpenSSL
Abra una ventana de terminal en el Mac y entrar para Raspberry Pi:
Eliminar llaves hechas en el paso anterior:
Generar autoridad certificadora (CA)
Antes de crear el certificado de cliente/servidor, configurar una autoridad autofirmado de certificación (CA), que se puede utilizar para firmar los certificados de servidor/cliente. Una vez creado, el cert CA actuará como autoridad de confianza para su servidor y certificados de cliente (o certificados).
Genera: ca.cer, ca.key
Generar el certificado y la clave SSL de servidor Apache
Generar server.key:
Generar una solicitud de generación de certificado.
Utilizar la solicitud de generación de certificado y el certificado CA para generar el certificado de servidor
Limpiar – ahora que se ha creado el certificado, ya no necesitamos la solicitud.
Instalar el certificado del servidor en Apache
Copie el certificado de CA en un lugar permanente. Tendremos que especificar nuestro cert CA en Apache ya que es un ser generado CA y no uno que se incluye en los sistemas operativos en todo el mundo.
Copie el certificado de servidor y la clave privada en lugar permanente.
Activar el módulo SSL en Apache.
Activar el sitio SSL en Apache
Desactivar el sitio HTTP
Editar el archivo de configuración para el sitio SSL habilitado y agregue las líneas siguientes:
Aplicar la configuración de Apache.
Ahora si usted visita su sitio https, obtendrá un error SSL similar a "peer SSL no pudo negociar un conjunto aceptable de parámetros de seguridad." Eso es bueno, significa que su sitio no acepta una conexión a menos que tu navegador está utilizando un certificado de confianza del cliente. Te generamos uno ahora.
Generar un certificado de cliente SSL
Generar una clave privada para el cliente SSL.
Utilizar la clave privada del cliente para generar una solicitud de cert.
Expedir el certificado de cliente mediante la solicitud de certificado y la clave CA cert.
Convertir el certificado de cliente y clave privada en formato pkcs #12 para el uso por los navegadores.
Limpiar: eliminar la clave privada de cliente, cert de cliente y archivos de solicitud de cliente como el pkcs12 tiene todo lo necesario.
