En el caso de ejemplo estoy utilizando mi dominio taquiones.net<\/em> en el que he creado un certificado digital que cubre taquiones.net<\/em> y *.taquiones.net<\/em>. Es decir, el principal y cualquier cosa que cuelgue por debajo de \u00e9l. La zona DNS est\u00e1 definida con normalidad y apunta a m\u00e1quinas externas que tengo en alquiler con sus alias (CNAMES) y dem\u00e1s, a la que he a\u00f1adido registros con los nombres de las m\u00e1quinas internas apuntando a direcciones IP internas. S\u00ed, un DNS p\u00fablico puede responder con direcciones internas. No hay nada raro aqu\u00ed porque en realidad ninguno de los enrutadores de Internet va a transmitir nada con esas IP. <\/p>\n\n\n\n Y as\u00ed puedo seguir con todo aquello que me interese pero teniendo siempre en cuenta que esta disposici\u00f3n no es para que se pueda acceder desde fuera a estas m\u00e1quinas<\/strong>. El DNS responde con direcciones internas que \u00fanicamente tienen sentido si se accede desde dentro de la red. En caso de necesitar acceso desde fuera hay que hacerlo de otra forma (VPN, DNS din\u00e1mico, …) pero no es lo que yo pretendo. <\/p>\n\n\n\n Despu\u00e9s transfiero los archivos de certificados (fullchain.pem<\/em> y privkey.pem<\/em>) a los servidores internos y los distintos programas que puedan aceptar conexiones cifradas de manera que cuando, desde dentro de la red, se solicite acceso a matraz.taquiones.net<\/em>, el DNS externo responder\u00e1 con su IP interna y el servidor (pongamos que Apache) se presenta como una m\u00e1quina bajo el amparo de *.taquiones.net<\/em>. Y ya est\u00e1. La conexi\u00f3n es segura porque el certificado ra\u00edz de Let’s Encrypt ya est\u00e1 instalado en el sistema y no hay queja por ninguna parte. Se pueden enviar contrase\u00f1as y datos sin temor a que alg\u00fan invitado de la red pueda inspeccionar los paquetes. <\/p>\n\n\n\n Es cierto que direcciones como matraz.home<\/em> me gustan m\u00e1s que matraz.taquiones.net<\/em> pero es un precio peque\u00f1o a pagar por no tener que poner en marcha un certificado autofirmado y luego instalarlo en cada cliente. <\/p>\n\n\n\n El router que proporciona direcciones IP, servicio DNS y salida a la red tiene alguna peculiaridad. Para empezar a proteger el acceso a la aplicaci\u00f3n web de gesti\u00f3n (luci<\/em>) es necesario hacer dos cosas: <\/p>\n\n\n\n Para convertir dichos archivos empleamos el programa openssl<\/em> (para variar) con las siguientes combinaciones: <\/p>\n\n\n\n Ambos archivos se pueden copiar en el directorio \/etc\/config<\/em> (por ejemplo) y luego configurar el servicio uhttpd<\/em> para que los emplee en el men\u00fa correspondiente.<\/p>\n\n\n Hay que prestar atenci\u00f3n a esos ajustes: forzar conexiones para que sean cifradas y permitir acceso desde direcciones IP privadas. La ruta de los certificados tambi\u00e9n debe elegir cuidadosamente porque si se sit\u00faan en un directorio temporal, que sea borrado en cada arranque, el programa deja de funcionar por las bravas.<\/p>\n\n\n\n Pues s\u00ed, al final lo he conseguido. A partir de ahora tengo servicios en la red casera que pueden cifrar sus conexiones sin tener que montar una autoridad de certificaci\u00f3n.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[14],"tags":[18,1163,1162,554,1161,60,1093,1164],"class_list":["post-4315","post","type-post","status-publish","format-standard","hentry","category-internet","tag-administracion-de-sistemas","tag-certificados-der","tag-certificados-pem","tag-lets-encrypt","tag-openssl","tag-openwrt","tag-red-casera","tag-uhttpd"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/4315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=4315"}],"version-history":[{"count":4,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/4315\/revisions"}],"predecessor-version":[{"id":4321,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/4315\/revisions\/4321"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=4315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=4315"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=4315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}El caso OpenWRT <\/h3>\n\n\n\n
$ # Para el certificado con la cadena completa\n$ openssl x509 -inform pem -in fullchain.pem -outform der -out fullchain.der\n$ # Para la clave privada\n$ openssl rsa -inform pem -in privkey.pem -outform der -out privkey.der<\/pre>\n\n\n\n
![\"\"](\"https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2022\/06\/image.png\")
<\/a>
\n\n\n<\/a>Referencias<\/h3>\n\n\n\n