Recursos Educativos - Contribuciones del usuario [es]

Jardiner ia

2026-03-08T17:26:09Z

Lantolin:

Control inteligente del riego mediante sensores de humedad a distintas profundidades

== Montaje ==

[[Archivo:Riego1.webp|marco|alt=conexiones]]

Jardiner ia

2026-03-08T17:19:43Z

Lantolin: Página creada con «Control inteligente del riego mediante sensores de humedad a distintas profundidades == Montaje == alt=conexiones»

Control inteligente del riego mediante sensores de humedad a distintas profundidades

== Montaje ==

[[Archivo:Riego1.webp|miniaturadeimagen|alt=conexiones]]

Archivo:Riego1.webp

2026-03-08T17:19:30Z

Lantolin:

conexiones

Página principal

2026-03-08T17:13:16Z

Lantolin:

Colección de recursos relacionados con la educación, la docencia, y la tecnología.

[[Especial:Todas|Todas las páginas]]

Me dan un C1 si no saco el C2 por poco

2025-04-03T08:46:24Z

Lantolin:

OJO con esto. Sucede lo mismo con el examen C1 y el B2.

Resumen: Cambridge "acredita que tienes las habilidades para alcanzar un C1", pero NO te da un Certificado C1 completo y con todas las de la ley. Te da algo similar pero que no es lo mismo. Esto es importante porque en entornos muy oficiales (oposiciones, trabajo público, etc.) ese certificado NO vale.

Fuente: [https://www.cambridgeenglish.org/exams-and-tests/proficiency/results/ Página de Cambridge]

Capturas de pantalla (abr-2025):

[[Archivo:Results.png|miniaturadeimagen]]

Ojo a como está dicho: "certificate stating that you demonstrated ability at Level C1".

Ejemplo: no es lo mismo un certificado que dice que "has demostrado las habilidades suficientes para ganar el oro en las Olimpiadas" que un certificado que dice que '''has ganado el oro en las Olimpiadas'''.

[[Archivo:Niveles.png|miniaturadeimagen]]

Nótese los colores, el C2 y sus dos grados están en azul oscuro (lo bueno) y lo demás en otro color.

[[Category:Inglés]]

Me dan un C1 si no saco el C2 por poco

2025-04-03T08:42:58Z

Lantolin: Página creada con «OJO con esto. Sucede lo mismo con el examen C1 y el B2. Resumen: Cambridge "acredita que tienes las habilidades para alcanzar un C1", pero no te da un Certificado C1 completo y con todas las de la ley. Te da algo similar pero no es lo mismo. Esto es importante porque en entornos muy oficiales (oposiciones, trabajo público, etc.) ese certificado NO vale. Fuente: [https://www.cambridgeenglish.org/exams-and-tests/proficiency/results/] Capturas de pantalla (abr-2025)…»

OJO con esto.

Sucede lo mismo con el examen C1 y el B2.

Resumen: Cambridge "acredita que tienes las habilidades para alcanzar un C1", pero no te da un Certificado C1 completo y con todas las de la ley. Te da algo similar pero no es lo mismo. Esto es importante porque en entornos muy oficiales (oposiciones, trabajo público, etc.) ese certificado NO vale.

Fuente: [https://www.cambridgeenglish.org/exams-and-tests/proficiency/results/]

Capturas de pantalla (abr-2025):

[[Archivo:Results.png|miniaturadeimagen]]

Ojo a como está dicho "certificate stating that you demonstrated ability at Level C1", no es lo mismo un certificado que dice que has demostrado las habilidades suficientes para ganar la Olimpiada que un certificado que dice que '''has ganado la Olimpiada'''.

[[Archivo:Niveles.png|miniaturadeimagen]]

Nótese los colores, el C2 y sus dos grados están en azul oscuro (lo bueno) y lo demás en otro color.

[[Category:Inglés]]

Archivo:Niveles.png

2025-04-03T08:39:45Z

Lantolin:

Niveles

Archivo:Results.png

2025-04-03T08:39:03Z

Lantolin:

Captura de pantalla

Reservas de IP en DHCP VirtualBox

2024-11-21T12:08:25Z

Lantolin: Página creada con «Problema: quiero hacer reservas MAC:IP en el servidor DHCP de VirtualBox, por ejemplo para que el adaptador Host Only de las IPs que yo quiero. vboxmanage dhcpserver modify --interface=vboxnet0 --mac-address=08:00:27:00:00:06 --fixed-address 192.168.56.6 Ojo, si es para un interfaz Host Only hay que usar <code>--interface</code>, para otros es <code>--network</code> Esto escribirá en el fichero <code>$HOME/.config/VirtualBox/VirtualBox.xml</code> que a su vez gen…»

Problema: quiero hacer reservas MAC:IP en el servidor DHCP de VirtualBox, por ejemplo para que el adaptador Host Only de las IPs que yo quiero.

vboxmanage dhcpserver modify --interface=vboxnet0 --mac-address=08:00:27:00:00:06 --fixed-address 192.168.56.6

Ojo, si es para un interfaz Host Only hay que usar <code>--interface</code>, para otros es <code>--network</code>

Esto escribirá en el fichero <code>$HOME/.config/VirtualBox/VirtualBox.xml</code> que a su vez genera el <code>HostInterfaceNetworking-vboxnet0-Dhcpd.config</code>

OJO con modificar directamente estos ficheros, el 2o es generado, y además si están los servicios de VirtualBox levantados pueden sobreescribirlos.

OJO también que hay un fichero de leases en <code>HostInterfaceNetworking-vboxnet0-Dhcpd.leases</code>, con los servicios parados se puede borrar. También hay ficheros <code>.prev</code> que no se bien que pintan.

Los servicios de VirtualBox se paran (VB 7.0.22 sobre Debian 12.8) teniendo todas las VMs paradas con:

systemctl stop vboxdrv.service

[[Category:Tecnologia]]
[[Category:Redes]]
[[Category:Tips]]

Migrar a systemd networkd

2024-07-16T11:20:20Z

Lantolin:

Problema: usas Linux, pongamos Debian 10 y estas usando el bueno y viejo <code>/etc/network/interfaces</code>, pero por el motivo que sea quieres comenzar a usar <code>systemd</code>, en concreto <code>systemd-networkd</code> y <code>systemd-resolved</code>.

He aquí una pequeña chuleta para convertir un sistema de 1 sola tarjeta y DHCP y/o IP fija

Fichero: <code>/etc/systemd/network/fija.network</code>

[Match]
Name=enp0s3

[Network]
Address=10.1.10.9/24
Gateway=10.1.10.1
DNS=10.1.10.1

Fichero: <code>/etc/systemd/network/dhcp.network</code>

[Match]
Name=enp0s3

[Network]
DHCP=ipv4
MulticastDNS=true

[DHCP]
ClientIdentifier=mac

Comandos:

cd /etc/network/
mv interfaces interfaces.migrado-a-systemd
systemctl enable systemd-networkd
systemctl disable networking.service

OJO: en debian, antes de hacer esta parte, la migracion de DNS, asegurate de que tu sistema tiene instalado el paquete <code>systemd-resolved</code> porque si haces esto te quedas sin DNS y no podrás instalar paquetes de la red.

rm /etc/resolv.conf
ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
systemctl enable systemd-resolved.service

Si está <code>NetworkManager</code> instalado (entornos gráficos), necesitarás tambien pararlo.

systemctl stop NetworkManager.service
systemctl disable NetworkManager.service

Nota: tanto el <code>ClientIdentifier=mac</code> como el <code>MulticastDNS=true</code>, son muy específicos de mi red, que es mixta Linux/Windows 2012 Server. Lo mas posible es que tu no lo necesites. mDNS funcionaba por defecto en el modo antiguo y el equivalente a <code>ClientIdentifier=mac</code> en el modo antiguo si se usa el cliente DHCP <code>dhclient</code> era poner <code>send dhcp-client-identifier = hardware;</code> en el <code>/etc/dhcp/dhclient.conf</code> (sin esto las reservas DHCP en el Windows Server 2012 no me funcionaban).

En IPFire se usa el cliente <code>dhcpcd</code> y en ese habia que tocar el fichero <code>dhcpcd.conf</code> y en el propio fichero vienen las instrucciones.

-----

[[Category:Linux]]

Acostumbrarse a los nuevos comandos Linux

2024-06-25T11:03:01Z

Lantolin:

Problema: eres un administrador de sistemas "old-school" y estás acostumbrado a comandos como <code>dmesg</code>, <code>ipconfig</code>, <code>service</code>, etc. Estos comandos o han desaparecido o les falta poco. Tienes que irte acostumbrando a usar sus sustitutos.

Solución: aquí me apunto algunos que siempre se me olvidan.

* Uso: '''listar los mensajes del kernel'''
* Antes: <code>dmesg</code>
* Ahora: <code>journalctl --dmesg</code> o <code>journalctl -k</code> o <code>journalctl -k -S today</code>

* Uso: '''consultar el runlevel por defecto'''
* Antes: lo mirabas en <code>/etc/initab</code>
* Ahora: <code>systemctl get-default</code>

* Uso: '''consultar el runlevel actual'''
* Antes: <code>runlevel</code>
* Ahora: no tiene sentido actualmente, se supone que si el sistema está <code>running</code> es que ha alcanzado su <code>default.target</code>, puedes consultar los target con <code>systemctl</code> sin argumentos.

* Uso: '''consultar la tabla ARP'''
* Antes: <code>arp</code>
* Ahora: <code>ip neighbor</code>
-----

[[Category:Linux]]

Acostumbrarse a los nuevos comandos Linux

2024-06-25T11:02:05Z

Lantolin:

Acostumbrarse a los nuevos comandos Linux

2024-06-25T11:01:26Z

Lantolin: Página creada con «Problema: eres un administrador de sistemas "old-school" y estás acostumbrado a comandos como <code>dmesg</code>, <code>ipconfig</code>, <code>service</code>, etc. Estos comandos o han desaparecido o les falta poco. Tienes que irte acostumbrando a usar sus sustitutos. Solución: aquí me apunto algunos que siempre se me olvidan. * Uso: '''listar los mensajes del kernel''' * Antes: <code>dmesg</code> * Ahora: <code>journalctl --dmesg</code> o <code>journalctl -k</co…»

Problema: eres un administrador de sistemas "old-school" y estás acostumbrado a comandos como <code>dmesg</code>, <code>ipconfig</code>, <code>service</code>, etc. Estos comandos o han desaparecido o les falta poco. Tienes que irte acostumbrando a usar sus sustitutos.

Solución: aquí me apunto algunos que siempre se me olvidan.

* Uso: '''listar los mensajes del kernel'''
* Antes: <code>dmesg</code>
* Ahora: <code>journalctl --dmesg</code> o <code>journalctl -k</code> o <code>journalctl -k -S today</code>

* Uso: '''consultar el runlevel por defecto'''
* Antes: lo mirabas en <code>/etc/initab</code>
* Ahora: <code>systemctl get-default</code>

* Uso: '''consultar el runlevel por actual'''
* Antes: <code>runlevel</code>
* Ahora: no tiene sentido actualmente, se supone que si el sistema está <code>running</code> es que ha alcanzado su <code>default.target</code>, puedes consultar los target con <code>systemctl</code> sin argumentos.

-----

[[Category:Linux]]

Detector de mentiras con arduino

2024-06-01T08:38:17Z

Lantolin: /* Construcción */

== Fase de investigación ==

Buscar en Google "detector de mentiras arduino".

La mayoría de resultados refieren a este [https://create.arduino.cc/projecthub/BuildItDR/arduino-lie-detector-a0b914 artículo de create.arduino.cc].

El proyecto en si es muy fácil. No es mas que una lectura de una señal analógica, visualizar la lectura usando el "Serial Plotter" del IDE de Arduino, calibrar tres niveles, y un simple IF que enciende 3 LEDs.

Vamos a probarlo.

== Requisitos y materiales ==

Siempre interesa tener actualizado el IDE y las librerías, uso IDE 1.8.5 y librerias y placas actualizadas a día de hoy (Abr 2018). No se puede hacer con IDEs muy antiguos porque no traian el Serial Plotter.

Materiales, aparte de lo obvio (arduino, cables, etc)

* 3 LEDs (no son estrictamente necesarios)
* Papel de aluminio
* Esparadrapo o similar
* Resistencias variadas, entre 2K y 10K.
* Cables de cobre multifilamento (mejor que monofilamento) para los sensores, para que hagan mejor contacto

== Construcción ==

El artículo lo hace con el [https://store.arduino.cc/arduino-nano arduino nano], yo lo hice con el [https://www.arduino.cc/en/Main/ArduinoBoardDuemilanove duemilanove], para el caso debería dar lo mismo.

El cableado es muy similar al de el artículo, pero para mi montaje la resistencia de 2K que propone no me daba apenas variaciones en el gráfico, funcionó mucho mejor con una de 10K.

Los cables negro/blanco y rojo/blanco en el esquema van a los sensores de aluminio. Interesa que sean cables multi-filamento.

Para el contacto entre los cables multi-filamento y los sensores no hace falta complicarse, si dejamos la tira de aluminio un poco tensa con ayuda del esparadrapo, el cable se sujeta solo entre el aluminio y el dedo.

[[Archivo:Detector bb.png|500px]]

OJO: el diagrama de arribe tiene un error, los dos cables negros verticales no van a VCC, van a tierra, es decir no terminan en la fila de más abajo (VCC) sino en la penúltima (GND).

Algunas imágenes más que ilustran el montaje y los sensores.

<gallery mode="packed" heights=240px>
Archivo:Serial plotter.png|Serial Plotter
Archivo:Cable multifilamento.jpg|Cable multifilamento
Archivo:Detector03.jpg|Detalle de los sensores
Archivo:Detector02.jpg|Los sensores en los dedos
Archivo:Detector04.jpg|Detalle del montaje
</gallery>

== Código ==

<syntaxhighlight lang="C" line>
int NIVEL_VERDE=75;
int NIVEL_AMARILLO=80;
int NIVEL_ROJO=95;

void setup()
{
Serial.begin(9600);
pinMode(2, OUTPUT);
pinMode(3, OUTPUT);
pinMode(4, OUTPUT);
digitalWrite(2, HIGH);
delay(500);
digitalWrite(3, HIGH);
delay(500);
digitalWrite(4, HIGH);
delay(500);
}

void loop()
{
int lectura = analogRead(A0);
if ( lectura > NIVEL_ROJO)
{
digitalWrite(4, HIGH);
digitalWrite(3, HIGH);
digitalWrite(2, HIGH);
}
else
{
if ( lectura > NIVEL_AMARILLO)
{
digitalWrite(4, LOW);
digitalWrite(3, HIGH);
digitalWrite(2, HIGH);
}
else
{
if ( lectura > NIVEL_VERDE)
{
digitalWrite(4, LOW);
digitalWrite(3, LOW);
digitalWrite(2, HIGH);
}
else
{
digitalWrite(4, LOW);
digitalWrite(3, LOW);
digitalWrite(2, LOW);
}
}
}

Serial.println(lectura);
delay(20);
}
</syntaxhighlight>

== Usandolo ==

A mi como detector de mentiras ... pues no funcionó, no detectaba variaciones, ni muchas ni pocas, estaba la gráfica plana.

La manera mas interesante que encontré de generar variaciones fue con presión. Poniendo la mano en el borde de la mesa y apretando los electrodos y soltando se generaba la siguiente gráfica.

[[Archivo:Detector01.png|800px]]

De forma consistente, con la mano relajada esta en torno a los 70 y con ella apretada entre 90 y 100. Ajustando los valores de las variables globales <code>NIVEL_VERDE</code>, <code>NIVEL_AMARILLO</code> y <code>NIVEL_ROJO</code> puedes jugar a ir encendiendo y apagando los LEDs con la presión de la mano. Otro experimento posible y curioso es jugar con otras variables corporales y ver como influyen en la gráfica, por ejemplo a mi me funcionó con la respiración, respirando fuerte y rápido se observaban cambios en la gráfica con respecto a la respiración en reposo.

Cosas que influyen en los valores que obtenemos y sobre todo en lo que interesa, que es que se muevan en vez de permanecer plano, es decir con que tenemos que jugar si la grafica apenas se mueve:

* construcción de los sensores, que esten apretados, que el contacto con el cable sea bueno, su tamaño, etc
* el valor de la resistencia

¡Ale, a jugar y a pasarlo bien!

[[Category:Arduino]]
[[Category:Circuitos]]
[[Category:3oESO]]
[[Category:4oESO]]

Detector de mentiras con arduino

2024-06-01T08:38:00Z

Lantolin: /* Construcción */

== Fase de investigación ==

Buscar en Google "detector de mentiras arduino".

La mayoría de resultados refieren a este [https://create.arduino.cc/projecthub/BuildItDR/arduino-lie-detector-a0b914 artículo de create.arduino.cc].

El proyecto en si es muy fácil. No es mas que una lectura de una señal analógica, visualizar la lectura usando el "Serial Plotter" del IDE de Arduino, calibrar tres niveles, y un simple IF que enciende 3 LEDs.

Vamos a probarlo.

== Requisitos y materiales ==

Siempre interesa tener actualizado el IDE y las librerías, uso IDE 1.8.5 y librerias y placas actualizadas a día de hoy (Abr 2018). No se puede hacer con IDEs muy antiguos porque no traian el Serial Plotter.

Materiales, aparte de lo obvio (arduino, cables, etc)

* 3 LEDs (no son estrictamente necesarios)
* Papel de aluminio
* Esparadrapo o similar
* Resistencias variadas, entre 2K y 10K.
* Cables de cobre multifilamento (mejor que monofilamento) para los sensores, para que hagan mejor contacto

== Construcción ==

El artículo lo hace con el [https://store.arduino.cc/arduino-nano arduino nano], yo lo hice con el [https://www.arduino.cc/en/Main/ArduinoBoardDuemilanove duemilanove], para el caso debería dar lo mismo.

El cableado es muy similar al de el artículo, pero para mi montaje la resistencia de 2K que propone no me daba apenas variaciones en el gráfico, funcionó mucho mejor con una de 10K.

Los cables negro/blanco y rojo/blanco en el esquema van a los sensores de aluminio. Interesa que sean cables multi-filamento.

Para el contacto entre los cables multi-filamento y los sensores no hace falta complicarse, si dejamos la tira de aluminio un poco tensa con ayuda del esparadrapo, el cable se sujeta solo entre el aluminio y el dedo.

[[Archivo:Detector bb.png|500px]]

OJO: el diagrama de arribe tiene un error, los dos cables negros verticales de la derecha no van a VCC, van a tierra, es decir no terminan en la fila de más abajo (VCC) sino en la penúltima (GND).

Algunas imágenes más que ilustran el montaje y los sensores.

<gallery mode="packed" heights=240px>
Archivo:Serial plotter.png|Serial Plotter
Archivo:Cable multifilamento.jpg|Cable multifilamento
Archivo:Detector03.jpg|Detalle de los sensores
Archivo:Detector02.jpg|Los sensores en los dedos
Archivo:Detector04.jpg|Detalle del montaje
</gallery>

== Código ==

<syntaxhighlight lang="C" line>
int NIVEL_VERDE=75;
int NIVEL_AMARILLO=80;
int NIVEL_ROJO=95;

void setup()
{
Serial.begin(9600);
pinMode(2, OUTPUT);
pinMode(3, OUTPUT);
pinMode(4, OUTPUT);
digitalWrite(2, HIGH);
delay(500);
digitalWrite(3, HIGH);
delay(500);
digitalWrite(4, HIGH);
delay(500);
}

void loop()
{
int lectura = analogRead(A0);
if ( lectura > NIVEL_ROJO)
{
digitalWrite(4, HIGH);
digitalWrite(3, HIGH);
digitalWrite(2, HIGH);
}
else
{
if ( lectura > NIVEL_AMARILLO)
{
digitalWrite(4, LOW);
digitalWrite(3, HIGH);
digitalWrite(2, HIGH);
}
else
{
if ( lectura > NIVEL_VERDE)
{
digitalWrite(4, LOW);
digitalWrite(3, LOW);
digitalWrite(2, HIGH);
}
else
{
digitalWrite(4, LOW);
digitalWrite(3, LOW);
digitalWrite(2, LOW);
}
}
}

Serial.println(lectura);
delay(20);
}
</syntaxhighlight>

== Usandolo ==

A mi como detector de mentiras ... pues no funcionó, no detectaba variaciones, ni muchas ni pocas, estaba la gráfica plana.

La manera mas interesante que encontré de generar variaciones fue con presión. Poniendo la mano en el borde de la mesa y apretando los electrodos y soltando se generaba la siguiente gráfica.

[[Archivo:Detector01.png|800px]]

De forma consistente, con la mano relajada esta en torno a los 70 y con ella apretada entre 90 y 100. Ajustando los valores de las variables globales <code>NIVEL_VERDE</code>, <code>NIVEL_AMARILLO</code> y <code>NIVEL_ROJO</code> puedes jugar a ir encendiendo y apagando los LEDs con la presión de la mano. Otro experimento posible y curioso es jugar con otras variables corporales y ver como influyen en la gráfica, por ejemplo a mi me funcionó con la respiración, respirando fuerte y rápido se observaban cambios en la gráfica con respecto a la respiración en reposo.

Cosas que influyen en los valores que obtenemos y sobre todo en lo que interesa, que es que se muevan en vez de permanecer plano, es decir con que tenemos que jugar si la grafica apenas se mueve:

* construcción de los sensores, que esten apretados, que el contacto con el cable sea bueno, su tamaño, etc
* el valor de la resistencia

¡Ale, a jugar y a pasarlo bien!

[[Category:Arduino]]
[[Category:Circuitos]]
[[Category:3oESO]]
[[Category:4oESO]]

Migrar de modphp a fpm

2024-01-01T13:36:59Z

Lantolin: Página creada con «Problema: usas PHP en Apache, y usas el bueno y viejo <code>mod_php</code>, pero quieres ir más allá y pasarte a una arquitectura FastCGI Aquí dejo mis notas de cuando lo hice. Estamos hablando de 2023 y Debian 11, quizás 12. a2dismod mpm_worker mpm_prefork a2enmod proxy_fcgi mpm_prefork setenvif a2enconf php8.2-fpm a2dismod php8.2 apt install php-fpm Integracion con Munin, tomada de [https://github.com/morbz-archive/munin-php-fpm Munin FPM] cd /usr/sha…»

Problema: usas PHP en Apache, y usas el bueno y viejo <code>mod_php</code>, pero quieres ir más allá y pasarte a una arquitectura FastCGI

Aquí dejo mis notas de cuando lo hice. Estamos hablando de 2023 y Debian 11, quizás 12.

a2dismod mpm_worker mpm_prefork
a2enmod proxy_fcgi mpm_prefork setenvif
a2enconf php8.2-fpm
a2dismod php8.2

apt install php-fpm

Integracion con Munin, tomada de [https://github.com/morbz-archive/munin-php-fpm Munin FPM]

cd /usr/share/munin/plugins/
wget -O php-fpm https://raw.github.com/MorbZ/munin-php-fpm/master/php-fpm.php
chmod +x php-fpm
ln -s /usr/share/munin/plugins/php-fpm /etc/munin/plugins/php-fpm-memory
ln -s /usr/share/munin/plugins/php-fpm /etc/munin/plugins/php-fpm-cpu
ln -s /usr/share/munin/plugins/php-fpm /etc/munin/plugins/php-fpm-count
ln -s /usr/share/munin/plugins/php-fpm /etc/munin/plugins/php-fpm-time
service munin-node restart

Ajustes habituales en el fichero: <code>/etc/php/8.2/fpm/php.ini</code>

memory_limit = 128M
post_max_size = 21M
upload_max_filesize = 20M

Otros ajustes en <code>/etc/php/8.2/fpm/pool.d/www.conf</code>

systemctl restart php8.2-fpm.service

-----

[[Category:Linux]]

Calcular el hash de un password usando yescrypt y una salt

2023-04-14T12:52:27Z

Lantolin: Página creada con «'''Problema:''' necesitas calcular el valor del hash de un password en Linux con un valor de SALT predecible, por ejemplo para meter ese valor directamente en <code>/etc/sh…»

'''Problema:''' necesitas calcular el valor del hash de un password en Linux con un valor de SALT predecible, por ejemplo para meter ese valor directamente en <code>/etc/shadow</code>. Recientemente algunas distribuciones como Debian 11 han empezado a usar yescrypt y esto lo hace mucho más dificil. Intentas usar <code>mkdpasswd</code> pero no hay manera.

'''Solución:''' puedes usar alguno de los métodos que se proponen como la librería <code>crypt</code> accedida a través de Perl o Python, pero vamos a usar <code>mkpasswd</code>

Lo que sucede es que la documentación de <code>mkpasswd</code> está muy mal explicada y el nombre de los parámetros es confuso. Donde dice SALT tienes que meter mucho más que eso, tienes que meter el método, los parámetros y la SALT.

Lo intutivo leyendo la documentación sería:

mkpasswd --method=yescrypt --salt='/kuoWIs/HW3B2GAIYjr3T0' contrasenya

Pero si haces eso no fufa, te dice:

Wrong salt length: 22 bytes when 0 expected.

Si no usas SALT, entonces si va, pero eso no es lo que queremos, queremos un hash predecible.

mkpasswd --method=yescrypt contrasenya
$y$j9T$uLmXYmWNvc.fmCpkBGV4D/$hGHWY2pCmnH6CMon864rM.fjCsrFrNT6G9wIUj56a8B

Solución: tienes que poner en SALT también el método y los parámetros, es decir añadir <code>$y$j9T$</code>

Asi si que funciona:

mkpasswd --method=yescrypt --salt='$y$j9T$/kuoWIs/HW3B2GAIYjr3T0' contrasenya
$y$j9T$/kuoWIs/HW3B2GAIYjr3T0$8bWIcutUs1QftN1c0wgDD8yqc8KOfDWqxCt7md9kEg0

Si quieres hacerte un script de Bash sería algo asi:

#!/bin/bash

PASSWORD=$1
SALT=$2

mkpasswd -m yescrypt -S "\$y\$j9T\$${SALT}" "${PASSWORD}"

Migrar a systemd networkd

2022-12-15T14:27:06Z

Lantolin:

Problema: usas Linux, pongamos Debian 10 y estas usando el bueno y viejo <code>/etc/network/interfaces</code>, pero por el motivo que sea quieres comenzar a usar <code>systemd</code>, en concreto <code>systemd-networkd</code> y <code>systemd-resolved</code>.

He aquí una pequeña chuleta para convertir un sistema de 1 sola tarjeta y DHCP y/o IP fija

Fichero: <code>/etc/systemd/network/fija.network</code>

[Match]
Name=enp0s3

[Network]
Address=10.1.10.9/24
Gateway=10.1.10.1
DNS=10.1.10.1

Fichero: <code>/etc/systemd/network/dhcp.network</code>

[Match]
Name=enp0s3

[Network]
DHCP=ipv4
MulticastDNS=true

[DHCP]
ClientIdentifier=mac

Comandos:

cd /etc/network/
mv interfaces interfaces.migrado-a-systemd
systemctl enable systemd-networkd
systemctl disable networking.service

rm /etc/resolv.conf
ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
systemctl enable systemd-resolved.service

Si está <code>NetworkManager</code> instalado (entornos gráficos), necesitarás tambien pararlo.

systemctl stop NetworkManager.service
systemctl disable NetworkManager.service

Nota: tanto el <code>ClientIdentifier=mac</code> como el <code>MulticastDNS=true</code>, son muy específicos de mi red, que es mixta Linux/Windows 2012 Server. Lo mas posible es que tu no lo necesites. mDNS funcionaba por defecto en el modo antiguo y el equivalente a <code>ClientIdentifier=mac</code> en el modo antiguo si se usa el cliente DHCP <code>dhclient</code> era poner <code>send dhcp-client-identifier = hardware;</code> en el <code>/etc/dhcp/dhclient.conf</code> (sin esto las reservas DHCP en el Windows Server 2012 no me funcionaban).

En IPFire se usa el cliente <code>dhcpcd</code> y en ese habia que tocar el fichero <code>dhcpcd.conf</code> y en el propio fichero vienen las instrucciones.

-----

[[Category:Linux]]

Leer un fichero linea a linea en BASH

2022-10-20T10:43:05Z

Lantolin:

Problema: tengo un fichero con líneas de texto que contienen espacios, por ejemplo nombres de directorios, quiero hacer un bucle de BASH que vaya creando esos directorios

Ejemplo:

while read l; do mkdir "$l" ; done < directorios.txt

Referencia: [http://mywiki.wooledge.org/BashFAQ/001 How can I read a file (data stream, variable) line-by-line (and/or field-by-field)?]

Referencia: [https://stackoverflow.com/questions/10929453/read-a-file-line-by-line-assigning-the-value-to-a-variable Read a file line by line assigning the value to a variable]

[[Category:Linux]]
[[Category:Tips]]

Leer un fichero linea a linea en BASH

2022-10-20T10:19:15Z

Lantolin:

= Un titulo =

Problema: tengo un fichero con líneas de texto que contienen espacios, por ejemplo nombres de directorios, quiero hacer un bucle de BASH que vaya creando esos directorios

Ejemplo:

while read l; do mkdir "$l" ; done < directorios.txt

Referencia: [http://mywiki.wooledge.org/BashFAQ/001 How can I read a file (data stream, variable) line-by-line (and/or field-by-field)?]

Referencia: [https://stackoverflow.com/questions/10929453/read-a-file-line-by-line-assigning-the-value-to-a-variable Read a file line by line assigning the value to a variable]

[[Category:Linux]]
[[Category:Tips]]

Migrar a systemd networkd

2022-06-06T11:25:24Z

Lantolin:

Problema: usas Linux, pongamos Debian 10 y estas usando el bueno y viejo <code>/etc/network/interfaces</code>, pero por el motivo que sea quieres comenzar a usar <code>systemd</code>, en concreto <code>systemd-networkd</code> y <code>systemd-resolved</code>.

He aquí una pequeña chuleta para convertir un sistema de 1 sola tarjeta y DHCP y/o IP fija

Fichero: <code>/etc/systemd/network/fija.network</code>

[Match]
Name=enp0s3

[Network]
Address=10.1.10.9/24
Gateway=10.1.10.1
DNS=10.1.10.1

Fichero: <code>/etc/systemd/network/dhcp.network</code>

[Match]
Name=enp0s3

[Network]
DHCP=ipv4
MulticastDNS=true

[DHCP]
ClientIdentifier=mac

Comandos:

cd /etc/network/
mv interfaces interfaces.migrado-a-systemd
systemctl enable systemd-networkd
systemctl disable networking.service

rm /etc/resolv.conf
ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
systemctl enable systemd-resolved.service

Si está <code>NetworkManager</code> instalado (entornos gráficos), necesitarás tambien pararlo.

systemctl stop NetworkManager.service
systemctl disable NetworkManager.service

Nota: tanto el <code>ClientIdentifier=mac</code> como el <code>MulticastDNS=true</code>, son muy específicos de mi red, que es mixta Linux/Windows 2012 Server. Lo mas posible es que tu no lo necesites. mDNS funcionaba por defecto en el modo antiguo y el equivalente a <code>ClientIdentifier=mac</code> en el modo antiguo era poner <code>send dhcp-client-identifier = hardware;</code> en el <code>/etc/dhcp/dhclient.conf</code> (sin esto las reservas DHCP en el Windows Server 2012 no me funcionaban).

-----

[[Category:Linux]]

Migrar a systemd networkd

2022-06-06T11:24:42Z

Lantolin:

Problema: usas Linux, pongamos Debian 10 y estas usando el bueno y viejo <code>/etc/network/interfaces</code>, pero por el motivo que sea quieres comenzar a usar <code>systemd</code>, en concreto <code>systemd-networkd</code> y <code>systemd-resolved</code>.

He aquí una pequeña chuleta para convertir un sistema de 1 sola tarjeta y DHCP y/o IP fija

Fichero: <code>/etc/systemd/network/fija.network</code>

[Match]
Name=enp0s3

[Network]
Address=10.1.10.9/24
Gateway=10.1.10.1
DNS=10.1.10.1

Fichero: <code>/etc/systemd/network/dhcp.network</code>

[Match]
Name=enp0s3

[Network]
DHCP=ipv4
MulticastDNS=true

[DHCP]
ClientIdentifier=mac

Comandos:

cd /etc/network/
mv interfaces interfaces.migrado-a-systemd
systemctl enable systemd-networkd
systemctl disable networking.service

rm /etc/resolv.conf
ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf
systemctl enable systemd-resolved.service

Si está NetworkManager instalado (entornos gráficos), necesitarás tambien pararlo.

systemctl stop NetworkManager.service
systemctl disable NetworkManager.service

Tanto el <code>ClientIdentifier=mac</code> como el <code>MulticastDNS=true</code>, son muy específicos de mi red, que es mixta Linux/Windows 2012 Server. Lo mas posible es que tu no lo necesites. mDNS funcionaba por defecto en el modo antiguo y el equivalente a <code>ClientIdentifier=mac</code> en el modo antiguo era poner <code>send dhcp-client-identifier = hardware;</code> en el <code>/etc/dhcp/dhclient.conf</code> (sin esto las reservas DHCP en el Windows Server 2012 no me funcionaban).

-----

[[Category:Linux]]

Migrar a systemd networkd

2022-06-06T11:09:43Z

Lantolin:

Crear un CA para firmar certificados SSL

2022-02-04T10:16:51Z

Lantolin: /* Procedimiento */

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados. Además es un incordio estar añadiendo las excepciones de seguridad en los programas cliente, y además quiero usar comodines en los dominios.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de este fantástico artículo [https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/ Crear autoridad certificadora (CA) y certificados autofirmados en Linux]. ¡Muchas gracias Antonio Guillen!

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -policy policy_loose -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Convertimos el certificado en DER, por si nos lo piden en ese formato, tenerlo ya

openssl x509 -in certs/${DOMINIO}.cert.pem -out certs/${DOMINIO}.cert.der -outform DER

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre>

Meter lineageos en samsung j3 2016

2021-06-07T21:53:24Z

Lantolin: Página creada con «'''El problema''': tienes un telefono android no tan antiguo (samsung y google puede que piensen que es antiguo, pero tu discrepas), y quieres hacer algo con el, pero no pu…»

'''El problema''': tienes un telefono android no tan antiguo (samsung y google puede que piensen que es antiguo, pero tu discrepas), y quieres hacer algo con el, pero no puedes porque la versión de Android mas moderna que soporta ese telefono, de forma oficial, no lo permite. Por ejemplo en mi caso era usar Android Auto en un Samsung J3 (SM-J320FN), pero Android Auto requiere Android 6 y ese telefono solo recibió actualizaciones hasta la 5.1.1

'''La solución''': instalar una Custom ROM. En mi caso LineageOS 14.1 (Android 7.1)

Me dejo aqui una breve "chuleta" de como lo hice. Las instrucciones no son muy precisas y no se refieren a los menus u opciones por su nombre exacto. Es solo para acordarme de los pasos. Si te olvidas o haces mal uno solo de ellos, la cagaste-burt-lancaster.

== Que necesitas ==

Ficheros que use:

lineage-14.1-20210321-UNOFFICIAL-j3xnlte.zip - ultimo lineage que se portó al SM-J320FN
open_gapps-arm-7.1-pico-20210605.zip - la version Stock no cabe en el J3, tienes que usar mini o menos

Como briquee el telefono, tuve que usar SM-J320FN_PHE_J320FNXXU0ARB1_J320FNOXA0ARA1_J320FNXXU0ARD1_J320FNXXU0ARB1.zip de sammobile.

Software que use:

* heimdall en linux debian buster
* adb en linux debian buster
* odin en Windows 10 en una maquina virtual VirtualBox sobre anfitrión debian buster (requiere el extension pack para activar USB 2.0)

Odin no es necesario, yo lo tuve que usar porque me salté un paso y briquee el movil.

== Proceso ==

* limpia el telefono de cuentas, mejor aun, ponlo de fabrica
* activa el modo desarrollador con 8 toques en Build Number
* desactiva la proteccion OEM, si no haces esto saltara la proteccion FRP y estaras jodido (lo se)
* modo download (home+vol-down)
* flashea TWRP con heimdall
* rebota *directamente* en recovery (home+vol-up), si no haces esto la ROM stock sobreescribe TWRP (me estuvo volviendo loco este paso)
* desde TWRP carga en adb sideload lineage y las gapps
* la 1a vez se queda en la animacion, ni caso, vuelve a rebotar
* y listo

== Comandos ==

heimdall flash --RECOVERY sm-j320fn_twrp_3.1.1_20200119/recovery.img --no-reboot
adb sideload lineage-14.1-20210321-UNOFFICIAL-j3xnlte.zip
adb sideload open_gapps-arm-7.1-pico-20210605.zip

Migrar a systemd networkd

2021-04-14T07:28:25Z

Lantolin:

Migrar a systemd networkd

2021-04-14T07:21:53Z

Lantolin:

Migrar a systemd networkd

2021-04-13T15:56:25Z

Lantolin:

Migrar a systemd networkd

2021-04-12T17:18:26Z

Lantolin:

Migrar a systemd networkd

2021-04-12T14:05:38Z

Lantolin: Página creada con «Problema: usas Linux, pongamos Debian 10 y estas usando el bueno y viejo <code>/etc/network/interfaces</code>, pero por el motivo que sea quieres comenzar a usar <code>syst…»

Crear un CA para firmar certificados SSL

2021-03-02T22:35:22Z

Lantolin:

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados. Además es un incordio estar añadiendo las excepciones de seguridad en los programas cliente, y además quiero usar comodines en los dominios.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de este fantástico artículo [https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/ Crear autoridad certificadora (CA) y certificados autofirmados en Linux]. ¡Muchas gracias Antonio Guillen!

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Convertimos el certificado en DER, por si nos lo piden en ese formato, tenerlo ya

openssl x509 -in certs/${DOMINIO}.cert.pem -out certs/${DOMINIO}.cert.der -outform DER

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre>

Crear un CA para firmar certificados SSL

2021-03-02T22:17:21Z

Lantolin: /* openssl.conf */

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Convertimos el certificado en DER, por si nos lo piden en ese formato, tenerlo ya

openssl x509 -in certs/${DOMINIO}.cert.pem -out certs/${DOMINIO}.cert.der -outform DER

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre>

Crear un CA para firmar certificados SSL

2021-03-02T22:16:58Z

Lantolin: /* openssl.conf */

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Convertimos el certificado en DER, por si nos lo piden en ese formato, tenerlo ya

openssl x509 -in certs/${DOMINIO}.cert.pem -out certs/${DOMINIO}.cert.der -outform DER

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<nowiki>
<pre>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre>
</nowiki>

Crear un CA para firmar certificados SSL

2021-03-02T22:16:18Z

Lantolin:

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Convertimos el certificado en DER, por si nos lo piden en ese formato, tenerlo ya

openssl x509 -in certs/${DOMINIO}.cert.pem -out certs/${DOMINIO}.cert.der -outform DER

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre><nowiki>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre></code>

Crear un CA para firmar certificados SSL

2021-03-02T22:06:43Z

Lantolin:

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export $BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Convertimos el certificado en DER, por si nos lo piden en ese formato, tenerlo ya

openssl x509 -in certs/${DOMINIO}.cert.pem -out certs/${DOMINIO}.cert.der -outform DER

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre><nowiki>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre></code>

Crear un CA para firmar certificados SSL

2021-03-02T22:05:05Z

Lantolin:

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export $BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA (En Common Name ponemos lo que queramos)

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado (en Common Name ponemos el DOMINIO)

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre><nowiki>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre></code>

Crear un CA para firmar certificados SSL

2021-03-02T22:04:31Z

Lantolin:

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export $BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

En Common Name ponemos lo que queramos.

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

En Common Name ponemos el DOMINIO.

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre><nowiki>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre></code>

Crear un CA para firmar certificados SSL

2021-03-02T22:03:06Z

Lantolin:

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export $BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

En Common Name ponemos lo que queramos.

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
openssl genrsa -out ./private/${DOMINIO}.key.pem 2048
chmod 400 ./private/${DOMINIO}.key.pem

Generar la solicitud de certificado

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre><nowiki>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre></code>

Crear un CA para firmar certificados SSL

2021-03-02T22:01:50Z

Lantolin: Página creada con «Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados. Solución: crear una clave privada+certificado de una CA, usarla para fir…»

Problema: estamos practicando SSL/TLS y queremos ir más allá de los certificados auto-firmados.

Solución: crear una clave privada+certificado de una CA, usarla para firmar certificados, e importar esa CA a Firefox y Thunderbird para que confien en ella.

== Procedimiento ==

Practicamente todo está tomado de https://blog.guillen.io/2018/09/29/crear-autoridad-certificadora-ca-y-certificados-autofirmados-en-linux/

Basicamente lo que ves aquí es una simplificación de ese artículo.

Creamos un directorio vacío como base, aquí va a estar la CA.

export $BASE='/root/ca'
mkdir $BASE
cd $BASE

mkdir certs csr crl newcerts private
chmod 700 private
touch index.txt
touch index.txt.attr
echo 1000 > serial

Creamos el fichero <code>openssl.conf</code>, puedes ver el contenido al final.

Creamos la clave privada de la CA

openssl genrsa -aes256 -out ./private/ca.key.pem 4096
chmod 400 ./private/ca.key.pem

Generamos el certificado de la CA

URL=luisantolin.com
export SAN=DNS:$URL
openssl req -config openssl.conf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem
chmod 444 certs/ca.cert.pem

En Common Name ponemos lo que queramos.

Crear una clave privada para nuestro sitio web.

URL="*.miweb.com"
openssl genrsa -out ./private/${URL}.key.pem 2048
chmod 400 ./private/${URL}.key.pem

Generar la solicitud de certificado

URL="*.miweb.com"
DOMINIO=$(echo $URL | sed 's/*\.//g' )
export SAN=DNS:$URL,DNS:$DOMINIO
openssl req -config openssl.conf -key private/${DOMINIO}.key.pem -new -sha256 -out csr/${DOMINIO}.csr.pem

Firmar la solicitud de certificado con la CA

openssl ca -config openssl.conf -extensions v3_req -days 3650 -notext -md sha256 -in csr/${DOMINIO}.csr.pem -out certs/${DOMINIO}.cert.pem
chmod 444 certs/${DOMINIO}.cert.pem

Ahora hay colocar el certs/DOMINIO.cert.pem y el private/DOMINIO.key.pem al servidor (Apache, o Postfix, o Dovecot), en donde corresponda en cada caso.

Por ultimo hay que importar el certs/ca.cert.pem en los clientes. En Mar-2021, para Firefox Linux y para Thunderbird Linux, en Ubuntu 20.04 LTS el procedimiento es trivial, basta con ir a opciones, buscar certificados, ahi CAs e importar el PEM.

== openssl.conf==

<pre><nowiki>
[ ca ]
# man ca

default_ca = CA_default

[ CA_default ]
# Directory and file locations.

dir = ./
certs = ./certs
crl_dir = ./crl
new_certs_dir = ./newcerts
database = ./index.txt
serial = ./serial
RANDFILE = ./private/.rand

# The root key and root certificate.

private_key = ./private/ca.key.pem
certificate = ./certs/ca.cert.pem

# For certificate revocation lists.

crlnumber = ./crlnumber
crl = ./crl/ca.crl.pem
crl_extensions = crl_ext
default_crl_days = 30

# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256

name_opt = ca_default
cert_opt = ca_default
default_days = 375
preserve = no
policy = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.

# See the POLICY FORMAT section of man ca.

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.

# See the POLICY FORMAT section of the ca man page.

countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
# Options for the req tool (man req).

default_bits = 2048
distinguished_name = req_distinguished_name
string_mask = utf8only
# SHA-1 is deprecated, so use SHA-2 instead.

default_md = sha256
# Extension to add when the -x509 option is used.

x509_extensions = v3_ca
# Extension for SANs

req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request

# Before invoke openssl use: export SAN=DNS:value1,DNS:value2

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = ${ENV::SAN}

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.

countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name
localityName = Locality Name
0.organizationName = Organization Name
organizationalUnitName = Organizational Unit Name
commonName = Common Name
emailAddress = Email Address

# Optionally, specify some defaults.

countryName_default = CO
stateOrProvinceName_default = Coruscant
localityName_default = Ciudad Galactica
0.organizationName_default = Consejo Jedi
organizationalUnitName_default = CJ
emailAddress_default = consejo@templo.jedi.org

[ v3_ca ]
# Extensions for a typical CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (man x509v3_config).

subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (man x509v3_config).

basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth

[ crl_ext ]
# Extension for CRLs (man x509v3_config).

authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (man ocsp).

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
</pre></code>

Openssh sin contraseña en windows10

2021-02-02T18:01:36Z

Lantolin: Página creada con «Objetivo: poder acceder remotamente desde un Linux a un Windows10 para poder lanzar comandos remotamente de modo que se puedan automatizar tareas. Seguro que no es la form…»

Objetivo: poder acceder remotamente desde un Linux a un Windows10 para poder lanzar comandos remotamente de modo que se puedan automatizar tareas.

Seguro que no es la forma mas "windows", pero para Linuxeros, tu dame un SSH y moveré el mundo.

=== Instalar OpenSSH Server ===

No viene por defecto

Abrimos una Powershell con privilegios de Administrador

<nowiki>Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0</nowiki>

Nos informará de si le hace falta reboot o no.

Set-Service -Name sshd -StartupType 'Automatic'

Start-Service -Name sshd

Listo, deberíamos tener el puerto 22 escuchando

=== Autorizar la clave pública ===

scp /home/lantolin/.ssh/id_rsa.pub l.antolin@172.16.4.236:/ProgramData/ssh/administrators_authorized_keys

Por estas cosas maravillosas de Windows ... que tanto nos enamoran, para que funcione hay que ejecutar lo siguiente en PS

<nowiki>$acl = Get-Acl C:\ProgramData\ssh\administrators_authorized_keys
$acl.SetAccessRuleProtection($true, $false)
$administratorsRule = New-Object system.security.accesscontrol.filesystemaccessrule("Administradores","FullControl","Allow")
$systemRule = New-Object system.security.accesscontrol.filesystemaccessrule("SYSTEM","FullControl","Allow")
$acl.SetAccessRule($administratorsRule)
$acl.SetAccessRule($systemRule)
$acl | Set-Acl</nowiki>

=== Cosas que se pueden hacer ===

Cambiar el proxy

<nowiki>ssh lantolin@192.168.1.114 powershell Set-ItemProperty \'HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet\ Settings\' -Name ProxyEnable -Value 0
Set-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -Name ProxyEnable -Value 0
Set-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -Name ProxyEnable -Value 1
Set-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -Name ProxyServer -Value 172.16.7.200:3128</nowiki>

Quitar la ruta por defecto. Esto es un modo de dejar un PC con Intranet (red local directamente conectada) pero sin Internet. Muy util para PCs de alumnos.

Remove-NetRoute -DestinationPrefix 0.0.0.0/0 -Confirm:$false

Manipulación de PDFs e imagenes en linea de comandos

2020-12-10T14:50:00Z

Lantolin:

=== Crear un jpg con la primera pagina ===

gs -q -sDEVICE=jpeg -dBATCH -dNOPAUSE -dFirstPage=1 -dLastPage=1 -r300 -sOutputFile=test.jpg test.pdf

=== Extraer una imagen, de la primera pagina, (por ejemplo la portada) ===

pdfimages -f 1 -l 1 -j fichero.pdf pgs

Un detalle: lo que hace pdfimages no es "generar" una imagen con el contenido de la página sino extraer los elementos de la página que sean imagenes. Es decir si el PDF lo que tiene en la pag 1 son 3 imágenes y un texto, el comando producirá 3 ficheros de imagen, y nada para el texto.

Si lo que queremos es realmente "renderizar" el PDF a PNG, podemos usar este comando:

pdftoppm -r 300 -png pdf.pdf prefijo-paginas

=== Crear un PDF con un libro escaneado ===

Secuencia de comandos para partiendo de un libro que estaba escaneado, con una imagen por página, pero con 2 paginas reales por imagen y muchos bordes blancos, hacer un PDF mejor, con una página real por pagina PDF y sin bordes blancos:

# Extraer todas las imágenes
pdfimages -j fichero.pdf pgs

# rotarlas 90 a la izq
for f in ???.jpg ; do echo "$f" ; convert "$f" -rotate 270 "${f%.jpg}_r.jpg" ; done

# Cortar las imágenes por la mitad, supongamos que la imagen es de 1200x500
for f in pgs-???.ppm ; do convert "$f" -crop 600x500! "${f.%.ppm}.%d.ppm"; done

# Cortarlas en 2 veces
for f in ???_r.jpg ; do echo $f ; convert "$f" -crop 1330x2340+0+200\! "${f%.jpg}_r_c1.jpg"; convert "$f" -crop 1330x2340+1330+200\! "${f%.jpg}_r_c2.jpg" ; done

# Tipico caso de banda horizontal arriba y banda horizontal abajo. La de arriba tiene 282px y la imagen que quiero conservar 1490px. El ancho es 1200.

for f in ???.jpg ; do convert "$f" -crop 1200x1490+0+282\! "${f%.jpg}.c.jpg" ; done

# Quitar los bordes blancos
for f in pgs-???.pbm.[01].jpg ; do convert "$f" +repage -fuzz "99%" -trim "$f.trim.jpg"; done

# Recrear el PDF a partir de las imágenes nuevas:
convert pgs-???.ppm.?.ppm fichero.pdf

=== Crear un PDF a partir de imágenes convirtiendo el tamaño (como mucho de X de alto o de Y de ancho, respetando el aspecto) ===

convert * -resize XxY fichero.pdf

=== Ponerle metadata (XMP) para que el e-reader lo muestre ===

# extraer metadata a fichero
pdftk f1.pdf dump_data output metadata.txt
# Editar metadata.txt a gusto del consumidor (se pueden añadir campos nuevos)
pdftk f1.pdf update_info metadata.txt output f2.pdf

Un método mejor que no requiere archivo intermedio y edición manual:

exiftool -Title="This is my title" -Author="Cobarde Anonimo" my.pdf

=== Eliminar las restricciones de un PDF ===

Para eliminar las restricciones de seguridad de un PDF sin password simplemente basta con hacer

qpdf --decrypt in.pdf out.pdf

[[Category:Tips]]
[[Category:Linux]]

Tunel Inverso con SSH

2020-11-11T21:52:39Z

Lantolin: Página creada con «'''Problema''': quiero acceder a una máquina A que está tras un NAT y/o un firewall, tengo cuenta SSH en esa máquina '''Solución''': mantener una sesion SSH abierta ha…»

'''Problema''': quiero acceder a una máquina A que está tras un NAT y/o un firewall, tengo cuenta SSH en esa máquina

'''Solución''': mantener una sesion SSH abierta hacia un servidor de salto en Internet, con un tunel inverso; usar ese tunel inverso para hacer un SSH de la máquina de salto hacia la máquina A

Ejemplo:

# desde la maquina A
ssh -p 5847 -N -R 10022:127.0.0.1:22 nadie@maquina.de.salto

# desde la máquina de salto
ssh -p 10022 usuario-de-A@127.0.0.1

Para mantener la sesión abierta usamos autossh y para que autossh arranque al arrancar la máquina A, creamos una unidad systemd

[Unit]
Description=AutoSSH reverse tunnel service for jump.you.io 100022 -> 22
After=network.target
[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=autossh -N -R 10022:127.0.0.1:22 nadie@maquina.de.salto
[Install]
WantedBy=multi-user.target

Referencia: [https://gist.github.com/ntrepid8/0af12c012dd2567c800799d86eb44f90 AutoSSH reverse tunnel service config for systemd]

Referencia: [https://unix.stackexchange.com/a/379991/47775 StackExchange]

[[Category:Linux]]
[[Category:Tips]]

Trabajando con Git

2020-10-21T17:15:26Z

Lantolin:

Anotaciones para ayudarme a migrar de Subversion a Git. La intención es documentar los flujos básicos de trabajo con Git, y anotar las principales diferencias de concepto que voy encontrando.

Mi uso es para un solo desarrollador en multiples ordenadores. Es una configuracion muy sencilla (para lo que Git es capaz de hacer).

Asunciones:

* Servidor Git: <code>aws.luisantolin.com</code>
* Usuario Git con intercambio de claves SSH ya configurado: <code>git</code>
* Una sola rama, la de por defecto: <code>master</code>
* Una solo repositorio remoto por proyecto, el de por defecto: <code>origin</code>
* Nombre de proyecto: <code>proyecto</code>

== Proyecto nuevo ==

Creando un proyecto nuevo. Git usa un repositorio por proyecto.

=== En el servidor ===

<code>PROYECTO="proyecto" ; ssh git@aws.luisantolin.com "cd /var/git && mkdir \"${PROYECTO}\".git && cd \"${PROYECTO}\".git && git init --bare"</code>

Listo, tenemos un repositorio vacio y listo para recibir datos.

=== En el cliente ===

<nowiki>
cd <directorio raiz del proyecto>
git init .
git add -A
git commit -m "Initial commit. Everything was in a dot."
git remote add origin git@aws.luisantolin.com:/var/git/<nombreproyecto>.git
git push origin master
git push --set-upstream origin master </nowiki>

Listo, tenemos nuestro proyecto local enviado al servidor.

=== En otro cliente ===

<nowiki>
cd <donde queramos que se cree la raiz de nuestro nuevo proyecto>
git clone git@aws.luisantolin.com:/var/git/<nombredeproyecto>.git
cd proyecto</nowiki>

Listo, ya podemos trabajar en este otro cliente.

== Trabajo diario ==

# Traemos la ultima version del repositorio: <code>git fetch</code>
# Vemos los cambios: <code>git diff master origin/master</code>
# Incorporamos los cambios: <code>git merge origin/master</code>
# Hacemos nuestros cambios
# Añadimos los ficheros cambiados al "staging area": <code>git add -A</code>
# Hacemos el commit de los cambios en el repositorio local: <code>git commit -m "descripcion de commit"</code>
# Enviamos los cambios al servidor: <code>git push</code>

Nota: <code>fetch</code> y <code>merge</code> se pueden hacer juntos con <code>git pull origin master</code>

Y vuelta a empezar :)

== Diferencias con Subversion ==

Tropezaré en estas mil veces.

'''Lo que en Subversion era un solo paso (commit) aqui son tres: add, commit y push.'''

Git tiene el concepto de "staging area", un area intermedia donde tengo que ir anotando los cambios explicitamente antes de hacer commit. De modo que desde que yo cambio un fichero hasta que esta disponible en el repositorio son 3 pasos:

# add lo anota como cambiado en la "staging area", totalmente local
# commit agrupa todos los cambios de la "staging area" y les da un ID y una descripcion, ¡aun todo local!
# push envia el commit al repositorio remoto

'''En Git todo son ramas, fetch se trae los cambios a lo que llama "rama remota" dentro del repositorio local'''

Al traer cambios del repositorio también hay mas pasos que en Subversion. Aqui el concepto nuevo (y confuso en mi modesta opinión) es que se trae los cambios a una rama remota local, nombre confuso donde los haya, quizá queda mas claro decir una rama remota del repositorio local. Es decir que en el repositorio local tenemos dos tipos de ramas, las locales, y una copia de las remotas (se ven todas con <code>git branch -a</code>.

# fetch trae los cambios desde el repositorio a una rama remota de nuestro repositorio local.
# merge incorpora los cambios, de cualquier rama a cualquier rama, en este caso de la remota a la local

[[Category:Tips]]
[[Category:Tecnologia]]
[[Category:Linux]]

Manipulación de PDFs e imagenes en linea de comandos

2020-09-05T12:09:36Z

Lantolin:

Crear un jpg con la primera pagina:

gs -q -sDEVICE=jpeg -dBATCH -dNOPAUSE -dFirstPage=1 -dLastPage=1 -r300 -sOutputFile=test.jpg test.pdf

Extraer una imagen, de la primera pagina, (por ejemplo la portada):

pdfimages -f 1 -l 1 -j fichero.pdf pgs

Un detalle: lo que hace pdfimages no es "generar" una imagen con el contenido de la página sino extraer los elementos de la página que sean imagenes. Es decir si el PDF lo que tiene en la pag 1 son 3 imágenes y un texto, el comando producirá 3 ficheros de imagen, y nada para el texto.

Si lo que queremos es realmente "renderizar" el PDF a PNG, podemos usar este comando:

pdftoppm -r 300 -png pdf.pdf prefijo-paginas

Secuencia de comandos para partiendo de un libro que estaba escaneado, con una imagen por página, pero con 2 paginas reales por imagen y muchos bordes blancos, hacer un PDF mejor, con una página real por pagina PDF y sin bordes blancos:

# Extraer todas las imágenes
pdfimages -j fichero.pdf pgs

# rotarlas 90 a la izq
for f in ???.jpg ; do echo "$f" ; convert "$f" -rotate 270 "${f%.jpg}_r.jpg" ; done

# Cortar las imágenes por la mitad, supongamos que la imagen es de 1200x500
for f in pgs-???.ppm ; do convert "$f" -crop 600x500! "${f.%.ppm}.%d.ppm"; done

# Cortarlas en 2 veces
for f in ???_r.jpg ; do echo $f ; convert "$f" -crop 1330x2340+0+200\! "${f%.jpg}_r_c1.jpg"; convert "$f" -crop 1330x2340+1330+200\! "${f%.jpg}_r_c2.jpg" ; done

# Tipico caso de banda horizontal arriba y banda horizontal abajo. La de arriba tiene 282px y la imagen que quiero conservar 1490px. El ancho es 1200.

for f in ???.jpg ; do convert "$f" -crop 1200x1490+0+282\! "${f%.jpg}.c.jpg" ; done

# Quitar los bordes blancos
for f in pgs-???.pbm.[01].jpg ; do convert "$f" +repage -fuzz "99%" -trim "$f.trim.jpg"; done

# Recrear el PDF a partir de las imágenes nuevas:
convert pgs-???.ppm.?.ppm fichero.pdf

Crear un PDF a partir de imágenes convirtiendo el tamaño (como mucho de X de alto o de Y de ancho, respetando el aspecto)

convert * -resize XxY fichero.pdf

Ponerle metadata (XMP) para que el e-reader lo muestre:

# extraer metadata a fichero
pdftk f1.pdf dump_data output metadata.txt
# Editar metadata.txt a gusto del consumidor (se pueden añadir campos nuevos)
pdftk f1.pdf update_info metadata.txt output f2.pdf

Un método mejor que no requiere archivo intermedio y edición manual:

exiftool -Title="This is my title" -Author="Cobarde Anonimo" my.pdf

[[Category:Tips]]
[[Category:Linux]]

Manipulación de PDFs e imagenes en linea de comandos

2020-09-05T12:00:12Z

Lantolin:

Crear un jpg con la primera pagina:

gs -q -sDEVICE=jpeg -dBATCH -dNOPAUSE -dFirstPage=1 -dLastPage=1 -r300 -sOutputFile=test.jpg test.pdf

Extraer una imagen, de la primera pagina, (por ejemplo la portada):

pdfimages -f 1 -l 1 -j fichero.pdf pgs

Un detalle: lo que hace pdfimages no es "generar" una imagen con el contenido de la página sino extraer los elementos de la página que sean imagenes. Es decir si el PDF lo que tiene en la pag 1 son 3 imágenes y un texto, el comando producirá 3 ficheros de imagen, y nada para el texto.

Secuencia de comandos para partiendo de un libro que estaba escaneado, con una imagen por página, pero con 2 paginas reales por imagen y muchos bordes blancos, hacer un PDF mejor, con una página real por pagina PDF y sin bordes blancos:

# Extraer todas las imágenes
pdfimages -j fichero.pdf pgs

# rotarlas 90 a la izq
for f in ???.jpg ; do echo "$f" ; convert "$f" -rotate 270 "${f%.jpg}_r.jpg" ; done

# Cortar las imágenes por la mitad, supongamos que la imagen es de 1200x500
for f in pgs-???.ppm ; do convert "$f" -crop 600x500! "${f.%.ppm}.%d.ppm"; done

# Cortarlas en 2 veces
for f in ???_r.jpg ; do echo $f ; convert "$f" -crop 1330x2340+0+200\! "${f%.jpg}_r_c1.jpg"; convert "$f" -crop 1330x2340+1330+200\! "${f%.jpg}_r_c2.jpg" ; done

# Tipico caso de banda horizontal arriba y banda horizontal abajo. La de arriba tiene 282px y la imagen que quiero conservar 1490px. El ancho es 1200.

for f in ???.jpg ; do convert "$f" -crop 1200x1490+0+282\! "${f%.jpg}.c.jpg" ; done

# Quitar los bordes blancos
for f in pgs-???.pbm.[01].jpg ; do convert "$f" +repage -fuzz "99%" -trim "$f.trim.jpg"; done

# Recrear el PDF a partir de las imágenes nuevas:
convert pgs-???.ppm.?.ppm fichero.pdf

Crear un PDF a partir de imágenes convirtiendo el tamaño (como mucho de X de alto o de Y de ancho, respetando el aspecto)

convert * -resize XxY fichero.pdf

Ponerle metadata (XMP) para que el e-reader lo muestre:

# extraer metadata a fichero
pdftk f1.pdf dump_data output metadata.txt
# Editar metadata.txt a gusto del consumidor (se pueden añadir campos nuevos)
pdftk f1.pdf update_info metadata.txt output f2.pdf

Un método mejor que no requiere archivo intermedio y edición manual:

exiftool -Title="This is my title" -Author="Cobarde Anonimo" my.pdf

[[Category:Tips]]
[[Category:Linux]]

Monitorizar Moodle con Munin

2020-07-19T10:22:35Z

Lantolin: Página creada con «Quiero monitorizar algunos aspectos de moodle relacionados con el rendimiento porque uso un servidor muy limitado en recursos. Por ejemplo, quiero saber cuantos usuarios c…»

Quiero monitorizar algunos aspectos de moodle relacionados con el rendimiento porque uso un servidor muy limitado en recursos.

Por ejemplo, quiero saber cuantos usuarios concurrentes hay, cosas asi. Quiero que sea con Munin porque es lo que uso y me parece simple y efectivo.

Despues de mucho mirar no encuentro nada que haga lo que necesito, asi que intentaré hacerlo yo.

Solucion simple: queries SQL y plugin de munin

Investigación en curso:

Numero de usuarios que han hecho login en los ultimos X segudos (ojo, fecha en epoch)

SELECT count(username) FROM mdl_user WHERE currentlogin>='1595153702';

Leer un fichero linea a linea en BASH

2020-06-19T11:07:22Z

Lantolin:

Leer un fichero linea a linea en BASH

2020-06-19T11:07:14Z

Lantolin:

Problema: tengo un fichero con líneas de texto que contienen espacios, por ejemplo nombres de directorios, quiero hacer un bucle de BASH que vaya creando esos directorios

Ejemplo:

while read l; do mkdir "$l" ; done < directorios.txt

Referencia: [http://mywiki.wooledge.org/BashFAQ/001 How can I read a file (data stream, variable) line-by-line (and/or field-by-field)?]
Referencia: [https://stackoverflow.com/questions/10929453/read-a-file-line-by-line-assigning-the-value-to-a-variable Read a file line by line assigning the value to a variable]

[[Category:Linux]]
[[Category:Tips]]

Leer un fichero linea a linea en BASH

2020-06-19T11:04:18Z

Lantolin: Página creada con «Problema: tengo un fichero con líneas de texto que contienen espacios, por ejemplo nombres de directorios, quiero hacer un bucle de BASH que vaya creando esos directorios…»

Cambiar de mapa de teclado

2020-06-10T14:46:38Z

Lantolin:

Problema: usas Linux y estas usando una maquina que no es la tuya, o una maquina de usar y tirar, la distribución o mapa del teclado no es el que tu tienes fisicamente o no es al que estas acostumbrado.

Para sesion gráfica:

setxkbmap -layout us -variant intl

Pendiente, investigar si es o no un cambio permanente, como averiguar el que ya habia, y como restaurarlo.

Para sesion de consola:

dpkg-reconfigure keyboard-configuration
setupcon

Pendiente, investigar una opcion que no requiera root, como averiguar el que ya habia, y como restaurarlo.

-----

[[Category:Linux]]