SSL Apache.

SSL Apache es el Certificado de Seguridad diseñado para interoperar sin problemas con los servidores web más comunes, navegadores y otras aplicaciones. SSL Apache está respaldado por Symantec™, la Autoridad de Confianza más prestigiada del mundo, que protege electrónicamente a personas y Organizaciones, mediante sus procesos de autenticación y cifrado.

Este proceso de instalación de SSL Apache considera que se cuenta con la versión más reciente del servidor web Apache y supone que están instalados los componentes SSL: OpenSSL y ModSSL. La mayoría de las distribuciones de Apache, así como UNIX / Linux que incluye Apache, ya están configurados con estos requisitos. Sin embargo, en caso de tener otra versión de Apache se sugiere contactar con los ejecutivos de soporte de CertSuperior.com para adaptar o detallar algunas instrucciones.

Fase 1. Generar la clave privada.

El primer paso es usar OpenSSL que, a través de su sistema binario, genera la clave privada (RSA de 2048 bits) y cifra el archivo que se mantendrá en el servidor web al ejecutar el comando:

Openssl genrsa –des3 2048 –out domainname.key

A continuación se pide una frase de acceso o mensaje de privacidad mejorada (PEM, Privacy Enhanced Message) y su confirmación. Aunque esta frase no es obligatoria es muy recomendable para garantizar la privacidad de la clave privada y la solicitará OpenSSL cada vez que se reinicie el servidor web Apache.

En este paso es muy importante hacer una copia de seguridad del archivo de la calve privada y del documento de la frase de acceso. Ya que si se pierde o no se puede acceder a la clave privada, no se podrá utilizar el Certificado de Seguridad. Además, se sugiere guardar la copia en un lugar seguro, como una unidad extraíble, por ejemplo:

Cp domainname.key ruta-al-disco extraíble

Fase 2. Generar la Solicitud de Firma de Certificado.

La Solicitud de Firma del Certificado (CSR, Certificate Signing Request) es un archivo de texto cifrado que se genera con ayuda de OpenSSL mediante el comando:

Openssl req-new-key-out domainname.csr

Durante este proceso se solicitan datos acerca de la Organización que solicita el Certificado de Seguridad:

  • País, en un código de dos letras.
  • Estado o provincia, sin abreviaturas.
  • Localidad o ciudad.
  • Nombre completo y legal de la Organización.
  • División, departamento, área o unidad de la Organización responsable del servidor web. Por ejemplo, TI.
  • Common Name o Nombre Común exacto, es decir, el que escriben los usuarios en los navegadores web para acceder al servidor que asegura el Certificado SSL. Por ejemplo, www.serviciosmexicanos.com

En el Common Name es importante distinguir entre serviciosmexicanos.com y www.serviciosmexicanos.com porque no son intercambiables en el Certificado. Al mismo tiempo, es importante no incluir http:// o https:// ni otros tipos de rutas como: www.serviciosmexicanos.com/seguridad. De esta forma, solamente están permitidos el host completo y nombre de dominio.

Nuevamente, se pedirá la frase de acceso o PEM del paso anterior para proteger la clave privada. Antes de concluir este paso es necesario revisar cuidadosamente toda la información que Symantec™ verificará antes de emitir el Certificado y recordar que, en caso de que previamente se haya solicitado un Certificado de Prueba gratuito, deberá generarse una nueva CSR.

Se puede ver el archivo de la Solicitud de Firma del Certificado con:

Cat domainname.csr

Fase 3. Configuración de SSL Apache.

Antes de instalar el Certificado Digital se tendrá que configurar el servidor web Apache. ModSSL proporciona las directrices para este procedimiento que generalmente son:

SSLCACertificateFile - Ruta del archivo que contiene los Certificados Raíz de la Autoridad de Certificación.

SSLCertificateFile – Ruta del archivo que contiene el Certificado SSL de Symantec™.

SSLCertificateKeyFile – Ruta de la clave privada, que deberá ser la misma con la que se generó la CSR.

SSLEngine – Mecanismo que controla si SSL está habilitado para un host particular.

Aunque la mayoría de estas directivas se dan por default en las distribuciones de Apache, es importante cerciorarse de que sean las rutas correctas. Después, deben colocarse en el archivo httpd.conf, que contiene los parámetros generales de configuración de Apache.

Además se debe asegurar que los cortafuegos (firewalls) o routers estén en el puerto 443, que se da por default para las conexiones http en los servidores web asegurados con SSL.

Fase 4. Instalación del Certificado.

Una vez aprobada su emisión, el Certificado de Seguridad se puede descargar desde el sitio web de Symantec™, con el acceso a la cuenta creada para la Organización. Entonces, se debe guardar el archivo del Certificado en una ubicación del servidor. Se recomienda que sea con un nombre como domainname.crt que ayuda a que coincida fácilmente con los archivos .key, .csr, y .crt.

La información sobre el Certificado incluye: Autoridad de Certificación emisora, titular, huellas dactilares y período de validez, entre otros detalles. Y sus detalles se pueden ver al ejecutar:

Openssl req-text-noout en domainname.crt

En este paso también se solicitará el PEM o frase de acceso que resguarda la clave privada. Cabe mencionar que el Certificado SSL Apache sólo puede ser usado en conjunto con la clave privada creada originalmente. En caso de que se pierda será necesario revocar el Certificado y crear uno nuevo.

Fase 5. Asegurar los host virtuales.

Los host virtuales que cuenten con el soporte de Apache pueden protegerse con SSL. No obstante, cada equipo debe tener su propia dirección IP, lo que puede representar una restricción del protocolo https. Por ello, debe adaptarse a las necesidades y disponibilidad de cada una de las Organizaciones.

Cuando se tenga alguna inquietud sobre la adaptación de SSL Apache o acerca de los productos de seguridad electrónica de Symantec™, se sugiere consultar a los ejecutivos de CertSuperior.com que ofrecen asesoría especializada y de alta calidad, disponible en línea y vía telefónica.

Ver como funciona