SOLICITUD, INSTALACIÓN y CONFIGURACIÓN
Anuncio
SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 EX-TEC-EHG-2004-005 SOLICITUD, INSTALACIÓN y CONFIGURACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 USO: EXTERNO http://www.camerfirma.com [email protected] Página 1 de 7 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 CONTROL DE ACTUALIZACIONES EX-TEC-EHG2004-005 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL VERSIÓN FECHA ELABORADO 1.0 13/07/2004 Eusebio Herrera Gutiérrez 1.1 07/02/2011 Eusebio Herrera Gutiérrez AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 REVISADO USO: EXTERNO http://www.camerfirma.com [email protected] APROBADO Página 2 de 7 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 INDICE 1. Solicitud del certificado 2. Instalación del certificado AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 USO: EXTERNO http://www.camerfirma.com [email protected] Página 3 de 7 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 1. Solicitud del certificado Es necesario tener instalada en el servidor la herramienta openssl Para generar la clave privada debe ejecutar: openssl genrsa -des3 -out miservidor.key 2048 Donde 2048 es la longitud de la clave. Debe especificar una longitud de clave de al menos 2048 bits. Este comando generará el fichero miservidor.key, que contiene su clave privada y que debe custodiar convenientemente. Proteja cuidadosamente esta clave privada haciendo una copia de seguridad y guardándola en un lugar seguro. Para generar la solicitud de certificado de servidor (CSR) debe ejecutar: openssl req -new -key miservidor.key -out solicitud.csr Ahora se le solicitarán datos para generar el CSR. Puede que en algunos campos exista un valor predefinido, si introduce '.' el campo se dejará en blanco (si pulsa enter, se pasará el valor predefinido) ----Country Name (2 letter code) [ ]: (Código del país - 2 letras) State or Province Name [ ]: (Provincia) Locality Name [ ]: (Ciudad) Organization Name [ ]: (Organización) Organizational Unit Name [ ]: (Departamento) Common Name* [ ]: (dominio o subdominio para el certificado) Email Address [ ]: (dirección de e-mail) Después le pedirá los siguientes datos extras que se enviarán con su petición del certificado A challenge password [ ]: (Contraseña) An optional company name [ ]: (Nombre altenativo de la compañia) ----Common Name (CN). Nombre de dominio para el que se va a solicitar el certificado. (ejemplo: www.camerfirma.com) Su CSR se generará en el fichero solicitud.csr. AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 USO: EXTERNO http://www.camerfirma.com [email protected] Página 4 de 7 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 Ejemplo de CSR -----BEGIN NEW CERTIFICATE REQUEST----MIIDYDCCAskCAQAwgYQxHjAcBgNVBAMTFWFwYWNoZS5jYW1lcmZpcm1hLmNvbTER MA8GA1UECxMIU2lzdGVtYXMxGzAZBgNVBAoTEkFDIENhbWVyZmlybWEgUy5BLjEO MAwGA1UEBxMFQXZpbGExFTATBgNVBAgeDABFAHMAcABhAPEAYTELMAkGA1UEBhMC RVMwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMqoOFQDRPQdccVunNJr7dCS e4YmW7NuA0Ss9i3RyzQkh4vf5MOxWSzF89pTSTqIWzfHZFDm330wsI36Wi7G6JnS 38LUE89HIf87rYakp2NFi3oyRVCZ+cXk5SKl1YLUrpWfpmU479yufDL1zRQoajKV GYflwaPRDehyFz05h8+lAgMBAAGgggGZMBoGCisGAQQBgjcNAgMxDBYKNS4wLjIx OTUuMjB7BgorBgEEAYI3AgEOMW0wazAOBgNVHQ8BAf8EBAMCBPAwRAYJKoZIhvcN AQkPBDcwNTAOBggqhkiG9w0DAgICAIAwDgYIKoZIhvcNAwQCAgCAMAcGBSsOAwIH MAoGCCqGSIb3DQMHMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA ZABlAHIDgYkAJ1L9qpiQmoL5dNlVLkM2P6UFcMYME1cUMidPEUHEGfxOB1eTGXu8 rhguJfDScUiy9h1SOkHO8CnjCQFoYPhb/iRhaCbbu1UsNfoJG1imCP07Lr8k8gOW 76zuvn+zfU5AbSQjJf/SbXyLZO9TDbe4Y2aklRo2aeZBVm2GXz3ezjYAAAAAAAAA ADANBgkqhkiG9w0BAQUFAAOBgQCORcKQNRHGVwiTB+EsK+5xuP1AOhdmUFLwZGxZ PjmkCXTJw3zJ2ifVbwxKB6eg2mCoRt1PZavhcFDOFTP+gxV6kJH83Hu6n6Sq+kO2 9psfFUSKrIV7Xhv/Vsh7pnJqNeytQSID3DSgyWiMcCKQf7RUG8GBtyVWRpxHc3MT rpPxyQ== -----END NEW CERTIFICATE REQUEST----- Este es el CSR que debe copiar (incluidas las cabeceras -----BEGIN NEW CERTIFICATE REQUEST----y -----END NEW CERTIFICATE REQUEST-----) en el formulario de solicitud del certificado de servidor seguro de AC Camerfirma.. AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 USO: EXTERNO http://www.camerfirma.com [email protected] Página 5 de 7 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 2. Instalación del certificado 1. Copiar su certificado en un archivo Abra el archivo del certificado principal que le ha enviado AC Camerfirma (por ejemplo miservidor.crt) utilizando un editor de texto. Este certificado tendrá la siguiente apariencia: -----BEGIN CERTIFICATE----MIIEDjCCAvagAwIBAgIBADANBgkqhkiG9w0BAQUFADCBnjELMAkGA1UEBhMCRVMx HDAaBgNVBAoTE0FDIENhbWVyZmlybWEsIFMuQS4xHjAcBgNVBAcTFVZlbGF6cXVl eiAxNTcsIE1hZHJpZDEnMCUGA1UEAxMeQUMgUHJ1ZWJhcyBTaW4gUmVzcG9uc2Fi aWxpZGFkMSgwJgYJKoZIhvcNAQkBFhljYV9wcnVlYmFzQGNhbWVyZmlybWEuY29t MB4XDTAyMDYwNTEzNTAxNVoXDTEyMDYwMjEzNTAxNVowgZ4xCzAJBgNVBAYTAkVT MRwwGgYDVQQKExNBQyBDYW1lcmZpcm1hLCBTLkEuMR4wHAYDVQQHExVWZWxhenF1 ZXogMTU3LCBNYWRyaWQxJzAlBgNVBAMTHkFDIFBydWViYXMgU2luIFJlc3BvbnNh YmlsaWRhZDEoMCYGCSqGSIb3DQEJARYZY2FfcHJ1ZWJhc0BjYW1lcmZpcm1hLmNv bTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKOswJVHPrrOVUhGZWPt ViaCGMuhVAVSUk1gZz3aq8gMCjX5MFgOi8d/dnUP7AXYKB/FtCcSYke9ATqxXKpu 18vQOqeW+VZYyfIVFHF1ttxB3XWCQFwfvshbqMQJZa+Xk29xZTUhX/te7dEaulnN AuNaqpAcvGk7RYNDU3RREd7jb/FO0oKrGTUtLmGCuTo7+4sYdI3qVYfc1ptqP9hB pHgNUfKz6QwNcLdXKKd79V5PuB7Mpd7scfZo7iw+EBXHBLwqE2NPRHxqYu+P0gd4 bgNXMx6SHm10qpdIsd81ubBf8jvf8m2QzSkVbW/ZcgSsm6d/8DRqNW5/zQitmMNJ N90CAwEAAaNVMFMwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUCio0tPRwVSDG op9uRwj3xkfEWV0wDgYDVR0PAQH/BAQDAgEGMBEGCWCGSAGG+EIBAQQEAwIABzAN BgkqhkiG9w0BAQUFAAOCAQEAMh7t9j4QFiG/FRPMe87/fTKcbgPGQI+8zXLriUWJ Wb6Vz6p8qMW4lNPAcE3kC7UbMYIJD5CA2CLbELSTnfwjrbGZnghBUrAlEh48YZNR pyEumwuXud/qkdGb8CwuvfPFOsrAFbNN0+ibgHMTppw4z9utZNXAlpObdur499Yl OnmUch6syVQEbn6iEKelAd1g34ekSl7ab7zImhltQOQVm0P49mfJKGMtcCsCBgOO qhurRTaR+MOj7gaeJak110Jl9sd5ueLadnmvWgQfGiPjPKUBU+P7TdCibio9dTCp G+t8Ho2O3wt1bFMOHEl46dQDB6YT+pitlny/QhmFuiPWng== -----END CERTIFICATE----Copie su certificado en un directorio seguro que utilice exclusivamente para este fin. En este ejemplo de instalación utilizaremos /etc/ssl/crt. Los archivos de ambas claves, la pública y la privada, ya existen en este directorio. La llave privada utilizada en el ejemplo será definida como miservidor.key y la clave pública, como miservidor.crt. AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 USO: EXTERNO http://www.camerfirma.com [email protected] Página 6 de 7 SOLICITUD E INSTALACIÓN DE UN CERTIFICADO DE SERVIDOR SEGURO EN APACHE MEDIANTE OPENSSL EX-TEC-EHG-2004-005 VERSIÓN FECHA 1.1 07/02/11 2. Instalación de los certificados Además del certificado principal, expedido para su nombre de dominio o subdominio, deberá instalar los certificados intermedios de la Autoridad Certificadora (CA) y el certificado principal de su servidor para poder efectuar conexiones SSL de 128 bits con los navegadores. Deberá realizar las siguientes modificaciones con respecto al archivo httpd.conf: 1. Copie el certificado de la CA y el de la subordinada –en formato PEM o base 64- (uno a continuación del otro) en un fichero en el mismo directorio que httpd.conf (por ejemplo jerarquias.txt). 2. Añada la siguientes líneas en la sección SSL del httpd.conf (suponiendo que /etc/httpd/conf es el directorio donde ha copiado el archivo jerarquias.txt). Si la línea ya existe modifiquelo para que se lea como sigue: SSLCertificateFile /etc/ssl/crt/miservidor.crt SSLCertificateKeyFile /etc/ssl/crt/miservidor.key SSLCACertificateFile /etc/httpd/conf/jerarquias.txt Si está utilizando un directorio y nombres de certificado diferentes necesitará cambiar la ruta y el nombre de archivo para que coincida en su servidor. Guarde su archivo httpd.conf y reinicie Apache. AC CAMERFIRMA - NIF: A 82743287 902 - 36 12 07 USO: EXTERNO http://www.camerfirma.com [email protected] Página 7 de 7
