Suele ser común tener una CA interna que queremos hacer confiable a las máquinas de nuestra red. En esta entrada vamos a ver cómo conseguir que nuestra Root CA sea una fuente confiable de certificados.

Método 1

  • Copiar el certificado en /usr/local/etc/ssl/certs/, creando este directorio si aún no existe
  • Agregarlo con la utilidad del sistema dedicada a gestionar certificados certctl
mkdir -p /usr/local/etc/ssl/certs/
cp certificatefile.pem /usr/local/etc/ssl/certs/
certctl rehash

Método 2

Este método realmente es hacer de forma manual lo que hace el comando certctl, con lo que no tiene mucho sentido. Salvo que por algún motivo la versión de FreeBSD que tengamos no lo incluya (muy raro).

  • Copiar el certificado en /etc/ssl/certs/.
  • Darle los privilegios correctos (0644).
  • Calcular el hash del certificado.
  • Crear un enlace usando ese hash
mv certificatefile.pem /etc/ssl/certs/
chmod 0644 /etc/ssl/certs/certificatefile.pem
openssl x508 -noout -hash -in /etc/ssl/certs/certificatefile.pem
cd /etc/ssl/certs
ln -s certificatefile.pem $(openssl x508 -noout -hash -in /etc/ssl/certs/certificatefile.pem)

Comprobación

La mejor forma de comprobar que el sistema ahora se fía de esa CA, es utilizar la suite OpenSSL y comprobarlo conectándonos por ejemplo a un servicio web que lo utilice.

openssl s_client -connect fqdn:443 | grep -i -e verify