- -
Manuales de las Aplicaciones Corporativas

Accesos directos de espacio

Árbol de páginas

Una vez hayas completado el trámite de la solicitud tendrás un fichero que contiene el certificado. Todavía no se ha terminado, el siguiente paso es instalarlo en el servidor y configurar el servicio (generalmente el servicio web) para que use el nuevo certificado SSL.

Las instrucciones de esta página son genéricas, si dispone de ellas siga las instrucciones específicas del fabricante o proveedor de software.

Requisitos previos

Antes de empezar, comprueba que dispones de los ficheros necesarios:

  • Fichero con la clave;
    • certificado.key (si realizaste el paso paso 1.2) o privateKey.pem (si lo descargaste de Harica en el paso 2.2) 
  • fichero con la cadena de certificados;
    • cert_bundle.pem; la opción disponible en Harica contiene la cadena de certificados junto con el certificado SSL.

Instrucciones de instalación para los servidores web más comunes

Apache

Copia los archivos al servidor:

sudo mkdir -p /etc/ssl/mydomain/
sudo cp privatekey.pem cert_bundle.pem /etc/ssl/mydomain/

Si Apache está en un servidor Windows, la ruta más habitual es:

C:/Apache/conf/ssl/



Si generaste tu propia clave privada y tu fichero CSR, en este paso sólo tienes que proteger la clave privada de manera que sólo root la pueda leer:

sudo chmod 600 /etc/ssl/mydomain/certificado.key


Si utilizaste el procedimiento que en el que la clave privada la generó Harica, dispondrás de un fichero llamado privateKey.pem. Este fichero está protegido por una contraseña que elegiste al solicitar el certificado.

Para evitar que Apache te pida la contraseña cada vez que arranca, necesitarás quitarle la contraseña. Para ello ejecuta esta instrucción;

openssl rsa -in privateKey.pem -out privada_sin_clave.key


Protege la clave privada para que sólo root la pueda leer;

sudo chmod 600 /etc/ssl/mydomain/privada_sin_clave.key

Y borra el fichero privatekey.pem.


IMPORTANTE

Custodia correctamente la clave privada borrándola de donde no haga falta y configurando adecuadamente los permisos para que sólo los administradores puedan acceder a ella.



Abre el fichero de configuración del virtual host del dominio:

sudo nano /etc/apache2/sites-available/mydomain.conf

Añade o edita las siguientes líneas dentro del bloque: <VirtualHost *:443>

<VirtualHost *:443>
    ServerName mydomain.com
    ServerAlias www.mydomain.com

    DocumentRoot /var/www/html

    SSLEngine on
	SSLCertificateFile /etc/ssl/mydomain/cert_bundle.pem
	SSLCertificateKeyFile /etc/ssl/mydomain/privada_sin_clave.pem

</VirtualHost>

Los ficheros descargados por Harica incluyen la cadena y el certificado juntos en un mismo fichero cert_bundle. Si en tu caso los ficheros estuvieran separados utiliza en su lugar estas líneas:

SSLCertificateFile /etc/ssl/mydomain/certificado.pem
SSLCertificateKeyFile /etc/ssl/mydomain/privada_sin_clave.pem
SSLCertificateChainFile /etc/ssl/mydomain/cadena.pem


Habilita el módulo SSL y reinicia Apache.

sudo a2enmod ssl
sudo systemctl restart apache2

En un servidor Windows podrás reiniciar Apache desde la consola de servicios de Windows.

Salta al final de esta página para comprobar que todo funciona correctamente; Comprobaciones 




IIS (Internet Information Server)


En este punto del procedimiento se dispone del certificado y de la clave privada en dos ficheros separados; certificado.pem y certificado.key

El primer paso que hemos de dar consiste en integrar estos dos archivos en un único fichero que contenga juntos el certificado y la clave privada:

openssl pkcs12 -export -in certificado.pem -inkey certificado.key -out certificado.p12


Como alternativa, existe una herramienta web de Harica que realiza esta misma tarea. La recomendación es no subir la clave privada a ninguna web, pero algunas personas preferirían este método:

https://www.harica.gr/en/Tools/PemToP12


Instalar el certificado en el servidor. Para ello ejecutaremos certlm o utilizaremos una consola genérica MMC a la que agregaremos el complemento Certificados para el equipo local.


En la rama Personal > Certificados, importaremos el fichero .p12 obtenido en el paso anterior.

También necesitaremos importar los certificados de las entidades intermedias.

Comprobaciones

La comprobación más fácil

Si el protocolo HTTPs está publicado en internet se puede usar la herramienta SSL Server Test de Qualys para comprobar si hay algún problema en la instalación o configuración del servicio HTTPS;

https://www.ssllabs.com/ssltest/

¡NOTA! Recuerde marcar la opción "DO NOT SHOW THE RESULTS ON THE BOARDS"


Comprobación con openssl

Si el servidor no está publicado en internet puede utilizar estas herramientas de línea de comandos de Linux para realizar sus comprobaciones;

openssl s_client -connect miservidor.upv.es:443


Ejemplo de la página https://www.upv.es con certificado correcto;

Comprobación con nmap

Otra manera de comprobar el certificado;

nmap -p 443 --script ssl-cert miservidor.upv.es

Ejemplo de certificado correcto:

Comprobación de la cadena de certificados

Cuando la cadena de certificados no se ha instalado correctamente sólo los navegadores nuevos verán sin errores la página web. El resto de clientes; como los navegadores antiguos, sistemas embebidos o herramientas de línea de comandos experimentarán errores al intentar visualizar la página web.

Puedes encontrar trucos y soluciones en Resolver y diagnosticar problemas de la cadena de certificados SSL


¿Crees que esta información es errónea u obsoleta? Comunícanoslo aquí           Gregal



  • Sin etiquetas

Área de Sistemas de Información y Comunicaciones