Instalación SSL en…C2Net Stronghold
Para instalar un certificado SSL en su servidor debe antes generar un CSR o petición de firma (PASO 1) con el que generaremos su certificado que posteriormente instalará en su dominio, ip o intranet (PASO 2).
PASO 1: Generar un CSR o petición de firma.
Nota: Las llaves y los certificados se manejan a través de tres scripts: genkey, getca y genreq. Éstos son parte de la distribución normal de Stronghold. Las llaves y los certificados se almacenan en el directory$ssltop/private /, donde SSLTOP es normalmente /usr/local/ssl.
Para generar las llaves (key) y un CSR para su servidor:
- Active genkey, especificando el nombre del alojamiento (hostname).
El script de genkey muestra los nombres y la localizacion de los archivo llave y CSR:
Archivo llave: /usr/local/www/sslhostname.key
Archivo del CSR: /usr/local/www/sslhostname.cert
Nota: Si ya tiene una llave para su servidor, haga funcionar el genreq [ servername ] (nombe del servidor) para generar solamente el CSR.
- Presione “Enter”. El script de genkey le recuerda que debe asegurarse antes de sobrescribir el actual par de llaves ni el certificado.
- Añada un tamaño en bits para su llave. Se recomienda que utilize el tamaño más grande del que disponga: 1024 o 512.
- Introduzca aleatoriamente las llaves asignadas. Pare en el momento que el contador llege a cero y le generador de llaves le avise. Este proceso se realiza para crear una unica llave pública y par de llaves privasdas.
- Cuando se lo pregunte, responda ' y ' para crear el par de llaves y el CSR.
- En CA seleccione 'otro' (“other”).
- Introduzca el código 2 letras de su país. Debe utilizar el código de país correcto de la ISO, otras abreviaturas no serán reconocidas. Por ejemplo el código correcto para el España es ES, NO ESP.
- Nombre completo de su región o provincia. No abrevie.
- Nombre de su ciudad, u otra localidad lugar.
- Nombre de su organización.
- Nombre de su departamento dentro de la organización
- Nombre completo del dominio por el que solicita el certificado. ( Por ejemplo www.dominio.com / subdominio.dominio.net / dominio.org). Esto también se conoce como "nombre común" de su sitio web.
- Cuando haya acabado de introducir los datos del CSR, el genkey crea automáticamente el CSR.
Mantenga su archivo clave y el CSR en un diskette o almacénelo en su disco duro de forma segura. Si pierde su llave privada o se olvida de la contraseña, no podrá instalar su certificado.
Una vez que posea el CSR puede pasar a comprar su certificado haciendo click aqui.
PASO 2: Instalación SSL
Primero instalaremos el certificado expedido a su nombre de dominio, subdominio o dirección IP, y posteriormente los certificados intermedios:
1) Instalación del certificado propio:
Abra el archivo del certificado principal (www_sudominio_com.crt) utilizando un editor de texto. Este certificado tendrá la siguiente apariencia:
—–BEGIN CERTIFICATE—–
MIAGCSqGSIb3DQEHAqCAMIACAQExADALB
UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3D
(…….)
E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJ
K99c42ku3QrlX2+KeDi+xBG2cEIsdSiXeQS/
—–END CERTIFICATE—–
Copie su certificado en un directorio seguro que utilice exclusivamente para este fin. En este ejemplo de instalación utilizaremos /etc/ssl/crt. Los archivos de ambas llaves, la pública y la privada, ya deben existir en este directorio.
La llave privada utilizada en el ejemplo será definida como private.key y la llave pública, como www_sudominio_com.crt.
2) Instalación del certificado ca-bundle (certificados intermedios)
Además del certificado principal, deberá instalar un certificado compuesto "ca-bundle", que incluye los dos certificados intermedios de la Autoridad Certificadora (CA) y el certificado principal de su servidor para garantizar sesiones de 128 bits con los navegadores. Este certificado lo recibirá por e-mail junto con su certificado propio.
Deberá realizar los siguientes pasos:
1. Copie este archivo comprimido (CA-Bundle), en el directorio /etc/ssl/crt
2. Añada la siguientes líneas en la sección SSL del archivo "httpd.conf". Si la línea ya existe modifíquelo para que se lea como sigue:
SSLCertificateFile /etc/ssl/crt/www_sudominio_com.crt
SSLCertificateKeyFile /etc/ssl/crt/private.key
SSLCertificateChainFile /etc/ssl/crt/www_sudominio_com.ca-bundle
Si está utilizando una localización y nombres de certificado diferentes necesitará cambiar la ruta y el nombre de archivo para que coincida en su servidor.
Guarde su archivo httpd.conf y finalmente reinicie Apache.