- -
Manuales de las Aplicaciones Corporativas

Accesos directos de espacio

Árbol de páginas

Versiones comparadas

Versión anterior 10

changes.mady.by.user Beatriz De la Blanca Sanchez

Guardado el

comparado con

Nueva versión Actual

changes.mady.by.user Sergio Puche García

Guardado el

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

...

  • Fichero con la clave;
    • certificado.key (si realizaste el paso paso 1.2) o privateKey.pem (si lo descargaste de Harica en el paso 2.2) 
  • fichero con el certificado SSL;
    • cert.pem o certificado.pem que se descarga una vez aprobada la solicitud.
    fichero con la cadena de certificados;
    • cert_bundle.pem; la opción disponible en Harica contiene la cadena de certificados junto con el certificado SSL.

...

UI Expand
titleApache
UI Steps
sizesmall
UI Step

Copia los archivos al servidor:

Bloque de código
sudo mkdir -p /etc/ssl/mydomain/
sudo cp cert.pem privatekey.pem cert_bundle.pem /etc/ssl/mydomain/

Si Apache está en un servidor Windows, la ruta más habitual es:

C:/Apache/conf/ssl/


UI Step


Si generaste tu propia clave privada y tu fichero CSR, en este paso sólo tienes que proteger la clave privada de manera que sólo root la pueda leer:

Bloque de código
sudo chmod 600 /etc/ssl/mydomain/certificado.key


Si utilizaste el procedimiento que en el que la clave privada la generó Harica, dispondrás de un fichero llamado privateKey.pem. Este fichero está protegido por una contraseña que elegiste al solicitar el certificado.

Para evitar que Apache te pida la contraseña cada vez que arranca, necesitarás quitarle la contraseña. Para ello ejecuta esta instrucción;

Bloque de código
openssl rsa -in privateKey.pem -out privada_sin_clave.key


Protege la clave privada para que sólo root la pueda leer;

Bloque de código
sudo chmod 600 /etc/ssl/mydomain/privada_sin_clave.key

Y borra el fichero privatekey.pem.


Nota
titleIMPORTANTE

Custodia correctamente la clave privada borrándola de donde no haga falta y configurando adecuadamente los permisos para que sólo los administradores puedan acceder a ella.



UI Step

Abre el fichero de configuración del virtual host del dominio:

Bloque de código
sudo nano /etc/apache2/sites-available/mydomain.conf

Añade o edita las siguientes líneas dentro del bloque: <VirtualHost *:443>

Bloque de código
<VirtualHost *:443>
    ServerName mydomain.com
    ServerAlias www.mydomain.com

    DocumentRoot /var/www/html

    SSLEngine on
	SSLCertificateFile /etc/ssl/mydomain/cert_bundle.pem
	SSLCertificateKeyFile /etc/ssl/mydomain/privatekeyprivada_sin_clave.pem

</VirtualHost>

Los ficheros descargados por Harica incluyen la cadena y el certificado juntos en un mismo fichero cert_bundle. Si en tu caso los ficheros estuvieran separados utiliza en su lugar estas líneas:

Bloque de código
SSLCertificateFile /etc/ssl/mydomain/certificado.pem
SSLCertificateKeyFile /etc/ssl/mydomain/privatekeyprivada_sin_clave.pem
SSLCertificateChainFile /etc/ssl/mydomain/cadena.pem


UI Step

Habilita el módulo SSL y reinicia Apache.

Bloque de código
sudo a2enmod ssl
sudo systemctl restart apache2

En un servidor Windows podrás reiniciar Apache desde la consola de servicios de Windows.

Salta al final de esta página para comprobar que todo funciona correctamente; 2Instalaci%C3%B3ndeuncertificadoSSL-Comprobaciones

...

 Comprobaciones 




IIS (Internet Information Server)


UI Expand
titleIIS
UI Steps
sizesmall
UI Step

En este punto del procedimiento se dispone del certificado y de la clave privada en dos ficheros separados; certificado.pem y certificado.key

El primer paso que hemos de dar consiste en integrar estos dos archivos en un único fichero que contenga juntos el certificado y la clave privada:

Bloque de código
openssl pkcs12 -export -in certificado.pem -inkey certificado.key -out certificado.p12


Como alternativa, existe una herramienta web de Harica que realiza esta misma tarea. La recomendación es no subir la clave privada a ninguna web, pero algunas personas preferirían este método:

UI Text Box
sizelarge
iconnote

https://www.harica.gr/en/Tools/PemToP12


UI Step

Instalar el certificado en el servidor. Para ello ejecutaremos certlm o utilizaremos una consola genérica MMC a la que agregaremos el complemento Certificados para el equipo local.


En la rama Personal > Certificados, importaremos el fichero .p12 obtenido en el paso anterior.

También necesitaremos importar los certificados de las entidades intermedias.

Comprobaciones

La comprobación más fácil

Si el protocolo HTTPs está publicado en internet se puede usar la herramienta SSL Server Test de Qualys para comprobar si hay algún problema en la instalación o configuración del servicio HTTPS;

UI Text Box
sizelarge
iconnote

https://www.ssllabs.com/ssltest/

¡NOTA! Recuerde marcar la opción "DO NOT SHOW THE RESULTS ON THE BOARDS"

Image Added


Comprobación con openssl

Si el servidor no está publicado en internet puede utilizar estas herramientas de línea de comandos de Linux para realizar sus comprobaciones;

Bloque de código
openssl s_client -connect miservidor.upv.es:443


Ejemplo de la página https://www.upv.es con certificado correcto;

Image Added

Comprobación con nmap

Otra manera de comprobar el certificado;

Bloque de código
nmap -p 443 --script ssl-cert miservidor.upv.es

Ejemplo de certificado correcto:

Image Added

Comprobación de la cadena de certificados

Cuando la cadena de certificados no se ha instalado correctamente sólo los navegadores nuevos verán sin errores la página web. El resto de clientes; como los navegadores antiguos, sistemas embebidos o herramientas de línea de comandos experimentarán errores al intentar visualizar la página web.

Puedes encontrar trucos y soluciones en Resolver y diagnosticar problemas de la cadena de certificados SSL


Incluir página
Pie de pagina manuales
Pie de pagina manuales