Una vez se haya tramitado la solicitud de piolín habrá recibido un bloque de texto que guardará en un archivo con extensión .PEM. El siguiente paso es instalar ese certificado en el almacén de certificados adecuado y usarlo desde el servicio correspondiente. Para ello deberá consultar las instrucciones específicas del fabricante del software para el sistema operativo que esté usando.
No es posible dar soporte a todas las tecnologías y todos los sistemas operativos en la instalación de certificados. Si su duda no está resuelta aquí, consulte la documentación oficial del servidor web que esté usando.
Diagnóstico de problemas en la instalación de certificados
La página de QUALYS proporciona mucha información de ayuda para diagnosticar los problemas de instalación de certificados y otros problemas relacionados con el protocolo TLS.
https://www.ssllabs.com/ssltest/
Certificados intermedios y certificados raíz
En algunos casos, además de instalar el certificado proporcionado a través de Pillín, es necesario instalar el certificado raíz o el certificado intermedio.
Estos son los certificados que necesita;
SI HA GENERADO LA CLAVE DE TIPO ECC;
- Certificado raíz e intermedio; cadena.pem
- Certificado intermedio; intermedio.pem
SI HA GENERADO LA CLAVE DE TIPO RSA;
- Certificado raíz e intermedio; cadena.pem
- Certificado intermedio; intermedio.pem
PARA CERTIFICADOS ANTIGUOS DE TERENA:
- Certificado raíz e intermedio; cadena.pem
- Certificado intermedio; intermedio.pem
Servidores web comunes
IIS
Si utiliza el servidor IIS tendrá que seguir los siguientes pasos para instalar el certificado:
adjuntar la clave privada al certificado:
openssl pkcs12 -export -in certificado.pem -inkey certificado.key -out certificado.p12En este paso se le pedirá una contraseña para proteger el acceso a la clave privada almacenada en el fichero .p12
instalar el certificado en el servidor
ejecutar certlm o abrir una consola genérica MMC y agregar el complemento Certificados para el equipo local (todo esto en el servidor Web)
desde la rama Personal > Certificados, importar el fichero .p12
importar los certificados de las entidades intermedias (si no se ha hecho previamente)
desde la rama Entidades emisoras de cert. intermedias > Certificados, importar el archivo intermedio.pem
agregar el certificado al sitio Web
desde la herramienta Administrador de Internet Information Services (IIS) > enlaces
destruir los ficheros .p12 y .key
reiniciar el servidor
Apache
Si utiliza el servidor Apache tendrá que seguir los siguientes pasos para instalar el certificado:
copiar los ficheros certificado.pem y certificado.key al directorio apropiado (donde se encuentre la configuración de Apache)
copiar al mismo directorio el fichero cadena.pem, que contiene una cadena con los certificados de todas las Entidades Certificadoras en juego
si la versión de Apache es superior a la 2.4.8, añadir el contenido del fichero cadena.pem al final del fichero certificado.pem
modificar el fichero de configuración de Apache (normalmente httpd.conf, ssl.conf...) para indicar que use dichos certificados:
- SSLEngine On
- SSLCertificateFile certificado.pem
- SSLCertificateKeyFile certificado.key
- #si Apache menor a la 2.4.8, descomentar la siguiente línea
- #SSLCertificateChainFile cadena.pem
NodeJS
Se ha comprobado que nodejs funciona con un certificado generado a partir de claves tipo RSA.
Si bien en algunas páginas de internet se aconseja transformar el fichero .PEM obtenido del formulario de piolín a otro formato .CRT, en nuestras pruebas no ha sido necesario.
El siguiente código establece un servidor https en nodejs;
#vim https_server.js
var https = require('https');
var fs = require('fs');
var https_options = {
key: fs.readFileSync("/path/to/certificado.key"),
cert: fs.readFileSync("/path/to/certificado.pem"),
ca: [
fs.readFileSync('path/to/cadena.pem')
]
};
https.createServer(options, function (req, res) {
res.writeHead(200);
res.end("Welcome to Node.js HTTPS Servern");
}).listen(443)