Manual de instalación.
El Manual de instalación presenta las respuestas a los cuestionamientos de los representantes de las Organizaciones sobre los pasos necesarios para establecer la tecnología SSL de los Certificados de Seguridad Symantec™. Este Manual de instalación comprende tres etapas: I) Generación del Certificate Signing Request, II) Instalación del Certificado SSL, III) Prueba del Certificado y IV) Instalación del sello de confianza Norton™ Secured Seal.
I) Generación de Certificate Signing Request.
El Certificate Signing Request (CSR) es un código que se crea en el servidor que se desea asegurar, contiene información acerca de la Organización y del dominio a certificar. Es necesario porque con él Symantec™ genera la llave pública correspondiente a la llave privada que el servidor emite de forma simultánea al CSR.
Los CSR deben tener una clave de mínimo 2048 bits, como estándar de seguridad, para evitar poner a los usuarios de comercio electrónico en situación de riesgo. El proceso de creación de la CSR se determina por medio del programa del servidor web y las instrucciones por tipo de servidor se encuentran en el portal CertSuperior.com donde también se puede solicitar la asesoría de un ejecutivo de soporte técnico.
II) Instalación del Certificado SSL
Esta etapa comprende completar la autenticación y verificación; corroborar que el servidor cubra los requisitos de instalación e instalar las raíces correspondientes por tipo de Certificado.
Es necesario completar la autenticación y verificación porque cada Certificado tiene diferentes tipos de Validación, en consecuencia, sus requisitos son diferentes. En los casos de Certificados con Validación Extendida (EV, Validación Extendida), por ejemplo, se deben entregar documentos y el proceso puede llevarse hasta 15 días.
Asimismo, para instalar un Certificado SSL es indispensable comprobar que el servidor tiene capacidad para conexiones seguras y tener una dirección IP dedicada al dominio web. Debido a que los Certificados SSL no se pueden instalar en una dirección IP compartida a menos que se comparta el Certificado. En consecuencia, si se ha contratado un plan hosting compartido será necesario pedir a la Empresa de alojamiento una dirección IP exclusiva para el dominio.
En cuanto a la instalación de las raíces, tienen variaciones de acuerdo con los tipos de Certificados y servidores, a continuación se enumeran las instrucciones para IIS 5.0 y 6.0, Apache y Tomcat. Si no se pueden utilizar para el servidor que la Organización maneja, es recomendable ponerse en contacto con su proveedor de software o pedir apoyo en CertSuperior.com.
Instalación de Certificado SSL para IIS 5 y 6.
- El Certificado SSL será enviado por correo electrónico e incluye el cuerpo del mismo Certificado. Debe copiarse el contenido del cuerpo y pegarse en un editor de texto como Notepad.
- Guardar el archivo con la extensión .cer en el Escritorio o en otra ruta a la que se pueda accesar después.
- Dentro del Administrador de IIS, dar doble click en Equipo Local y después en el folder de sitios web.
- Dar click derecho en el sitio web en el que se hizo la solicitud del Certificado extrayendo la CSR y en donde se va a instalar el Certificado.
- Dar click en Propiedades y seleccionar la pestaña de Seguridad de Directorios.
- Dar click en Certificado de Servidor dentro de la sección de Comunicaciones Seguras.
- Dar click en Siguiente en la ventana de Asistente de Configuración de Certificados.
- Seleccionar Procesar la Petición Pendiente y dar click en Siguiente.
- Dar click en Examinar y localizar el archivo con .cer que contiene el Certificado y dar click en Siguiente.
- Verificar que el puerto en la ventana de diálogo sea el Puerto SSL 443.
- Verificar el resumen del Certificado dentro del Wizard y asegurarse de que se está instalando el Certificado correcto. Dar click en Siguiente.
- Dar click en Finalizar para completar el Asistente de Instalación de Certificados.
- Dar click derecho en su sitio web e ingresar a Propiedades.
- Seleccionar la pestaña de sitio web. En la sección de Identificación de Sitio Web asegurarse de que el sitio tenga una Dirección IP y de que el puerto de SSL esté configurado en el 443.
- Finalmente, dar click en Aceptar.
Instalación del Certificado SSL en Apache.
En caso de que no se tenga un Virtual Host configurado o se necesite saber más acerca de la configuración en Apache se sugiere visitar:
http://en.tldp.org/HOWTO/SSL-RedHat-HOWTO.html http://www.apache.org/
Instalación para Tomcat.
- Con la herramienta Keytool de Java generar un almacén de llaves Keystore corriendo el comando:
keytool -genkey -keystore C:\javasign\tomcat.keystore -alias tomcat -keyalg RSA
- Ingresar un password (mínimo de 6 caracteres) para el almacén de claves y dar enter para establecerlo. Es importante recordar este password porque se tendrá que especificar en el archivo server.xml. Además es imposible recuperarlo y si se pierde no se podrá accesar a ninguna de las llaves.
- Ingresar los datos de la Organización para que Symantec™ genere el Certificado SSL. Entre ellos: Nombre común, nombre de la Organización, país y unidad organizacional. En estos datos es importante evitar los caracteres especiales < > ~ ! @ # $ % ^ / \ ( ) ? , &
- Ingresar la información geográfica completa y sin abreviaturas: País, Estado y Ciudad.
- Ingresar Organization (Por ejemplo: Mexicana de Servicios de Alimentos S.A.) y Organizational Unit (Sistemas Informáticos).
- Ingresar el Nombre común (Common Name) del sitio o servidor de correo también conocido como URL a certificar o FQDN (Fully Qualified-Domain Name). En otras palabras, en este campo se registra el término como se visualizará la Organización en la barra de direcciones del navegador. No se deben incluir http:// ni https://. Este paso es muy importante, si es erróneo el Certificado no trabajara apropiadamente.
- Instalar las raíces correspondientes al Certificado, Root:
keytool -keystore C:\javasign\tomcat.keystore -keyalg RSA -import -trustcacerts -alias rootcacert -file c:\javasign\root.crt
Y la raíz intermedia:
keytool -keystore C:\javasign\tomcat.keystore -keyalg RSA -import -trustcacerts -alias cacert -file c:\javasign\intermediate.crt
- Generar la CSR con este comando que se almacenará en la ruta indicada después del file en donde señala el nombre del archivo:
keytool -certreq -keyalg RSA -keystore C:\javasign\tomcat.keystore -alias tomcat -file c:\javasign\CSR.txt
- Recordar que el archivo .csr contiene la solicitud del Certificado. Copiar y pegar el contenido del archivo desde la primera hasta la última línea.
- Instalar el Certificado que fue enviado por correo electrónico llamado cert.cer
keytool -import -trustcacerts -keystore C:\javasign\tomcat.keystore -alias tomcat -file c:\javasign\cert.cer
- Verificar que contiene el keystore.
keytool -list -v -keystore C:\javasign\tomcat.keystore
- Cuando se ha completado de forma exitosa la importación del Certificado, se debe de modificar el archivo server.xml, haciendo referencia al keystore y a su password.
Si durante este proceso se requiere más información se puede comunicar con los ejecutivos de CertSuperior.com o consultar http://java.sun.com/j2se/1.5.0/docs/tooldocs/solaris/keytool.html
III) Prueba del Certificado SSL.
Para probar que el Certificado de Seguridad ha quedado instalado en el sitio web debe conectarse, mediante un navegador, al servidor usando la directiva del protocolo https.
Por ejemplo, si el Certificado fue emitido para ssl.servimex.com, debe ingresarse en la barra de direcciones del navegador con el formato: https://ssl.servimex.com.
Como resultado, si el Certificado se ha instalado y configurado correctamente dentro del navegador se habilitará el icono del candado dorado en posición de cerrado.
IV) Instalación del sello de confianza Norton™ Secured Seal.
Para la instalación del Norton™ Secured Seal es necesario generar un código que se ingresará en el html del sitio web en la sección que más convenga a la Organización.
- Leer y Aceptar los términos y condiciones del contrato de licencia del sello de Symantec™.
- Elegir el sello de acuerdo a las opciones de: Tipo de Certificado adquirido, idioma del enlace, tamaño y formato de visualización del sello (Imagen estática o animación en flash).
- Escribir el nombre común del sitio web.
- Crear la secuencia de comandos para el sello. Aceptar los términos y condiciones del contrato repositorio. Dar click en Crear secuencia de comandos.
- Seleccionar la información que se genere en el recuadro y copiarla directamente en el código de la página web. Si se envía por correo electrónico o se copia el código en un procesador de texto puede registrarse error.
- Comprobar la instalación del sello que normalmente se mostrará en un par de horas o en un plazo máximo de 24 horas. Es importante recordar que la presencia del sello implica el escaneo de malware y que sólo se ejecutará si no se ha encontrado ningún problema al respecto.
- Abrir las páginas actualizadas en un navegador.
- Asegurarse de que el sello aparece como se esperaba.
- Hacer click en el sello para comprobar la página de verificación.
- Revisar que la información sea correcta.
- Si el sello no aparece, verificar que la página con el sello se encuentra dentro del dominio que se especificó durante la subscripción.
Si durante la configuración del sello Secured Seal de Symantec™ o en cualquier etapa de la instalación del Certificado de Seguridad SSL surge alguna pregunta o inquietud sobre las instrucciones, se reitera que los ejecutivos de soporte de CertSuperior.com están en la mejor disposición de ayudar vía telefónica, correo electrónico y chat.