Instalación del certificado SSL en el servidor Apache

La siguiente guía le enseñará cómo generar la clave pública en el servidor Apache mediante la herramienta OpenSSL, que es posible utilizar en cualquier servidor, y la consiguiente instalación del nuevo certificado emitido.

Proceso de generación de la CSR en Apache (OpenSSL)

Para generar la CSR request (clave pública) y la clave privada se utiliza la herramienta OpenSSL, que por lo general se encuentra en la localización /usr/local/ssl/bin.

En el primer paso generamos un par de claves (key pair). Después de la activación escriba lo siguiente en la interfaz de línea de comandos:

openssl genrsa –des3 –out www.mydomain.com.key 2048

El parámetro -des3 asegura el uso de passphrase para la clave privada; si no utilizamos este parámetro la clave privada no estará protegida.

En el segundo paso se genera la propia CSR request. La CSR con la clave privada se puede generar también en la administración de SSLmarket y guardar la clave privada más tarde para la posterior instalación.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Si vemos en la plataforma Windows el error Unable to load config info from /usr/local/ssl/openssl.cnf, debemos introducir en la interfaz de línea de comandos el comando set OPENSSL_CONF=C:/.../openssl.cnf, con el cual definiremos la localización del archivo.

Después de introducir el comando se nos pedirá que especifiquemos los datos para la CSR. Introduciremos los datos sin signos diacríticos.

Common Name: Common Name es el nombre completo del dominio para el cual será emitido el certificado
Company / Organization: Introduzca el nombre completo de la compañía, tal como figura en el registro mercantil, incluida la forma legal.
Organizational Unit: Este campo no es obligatorio y está destinado a indicar la unidad organizativa de una organización, por ejemplo, una sucursal o un departamento.
Locality / City: Nombre de la ciudad
State / Province: Introduce "Spain" o "Espana"
Country Name: código de dos letras de un país, ES

Ejemplo de una CSR rellenada correctamente

CN: www.sslmarket.es
OU: Software
O: ZONER a.s.
ST: Madrid
C: ES
L: Madrid

No introduzca otra información adicional en la CSR request, como por ejemplo el correo electrónico, la contraseña u optional company name. OpenSSL generará un archivo con la extensión CSR, que introducirás en el pedido del certificado en SSLmarket.es.

Instalación del certificado emitido en el servidor

Pasos iniciales

Si instala el certificado en un servidor en el que no se haya editado la configuración de Apache, primero permita el HTTPS en el site por defecto y permita las conexiones TLS. Sin estos dos pasos básicos el protocolo HTTPS no funcionará.

Introduzca en el terminal: sudo a2enmod ssl Así se activará el módulo HTTPS.
A continuación, permita el site por defecto para la conexión segura o el Apache utilizará solamente el site por defecto con el HTTP: sudo a2ensite default-ssl Reinicie Apache para que a continuación, funcionen tanto el HTTP como el HTTPS: systemctl restart apache2

Preparación de los certificados TLS e intermedio

El certificado TLS emitido se entrega por correo electrónico. El certificado llegará en formato texto cifrado en Base64. Guarde el archivo linux_cert+ca.pem enviado por nosotros o cópielo en el servidor.

El archivo linux_cert+ca.pem contiene el certificado para el dominio y el certificado intermedio. Están en un archivo juntos porque los servidores web los quieren tener juntos. El certificado intermedio es necesario para la credibilidad del certificado emitido en los dispositivos de los clientes, sin embargo, usted no tiene por qué buscar y añadirlo en la configuración.

Utilice el archivo linux_cert+ca.pem como SSLCertificateFile para Apache, en el que se han unido el certificado y el intermedio. No utilice las directrices SSLCertificateChainFile o SSLCACertificateFile, ya que son innecesarias.

Configuración del virtualHost

Para utilizar el certificado suministrado debe modificar la configuración del host para el dominio. Abra el archivo de configuración default-ssl.conf (o dominio-ssl.conf) para editarlo (debería estar en /etc/apache2/sites-enabled; si no es así, vuelva al apartado Pasos iniciales) y edite la ubicación del archivo de clave privada y del archivo de certificado que se utilizarán en las dos siguientes directivas:

SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
SSLCertificateKeyFile /etc/ssl/private/private.key

Las versiones anteriores de Apache soportaban la directiva SSLCertificateChainFile (no está en uso desde la versión 2.4.8); puede eliminarla o desactivarla. El certificado intermedio está en el archivo del certificado cómo ya se ha indicado anteriormente. La directiva SSLCACertificateFile sirve para los certificados de clientes, así que puede ignorarlo para el certificado TLS.

Guarde el archivo. Puede verificar la configuración correcta antes de reiniciar, utilizando la orden sudo apache2ctl configtest Finalmente, reinicie Apache con


sudo systemctl restart apache2

Ejemplo de configuración del servidor

En el servidor web Apache se guardan las configuraciones permitidas y utilizadas en la carpeta /etc2/apache2/sites-enabled. Aquí indicamos un ejemplo típico de la configuración del servidor en el archivo default-ssl.conf. SSLEngine on SSLCertificateFile /etc/ssl/private/dominio.pem SSLCertificateKeyFile /etc/ssl/private/dominio.key

Si desea hacer la configuración del servidor web más fácil, utilice moz://a SSL Configuration Generator. El configurador le recomendará una configuración correcta para la seguridad del servidor web.

Puede verificar la correcta instalación del certificado SSL en nuestro verificador.

¿Muchas preguntas?

Email
info@sslmarket.es
formulario de contacto

Teléfono
+34 910 601 884

¿Le resultó útil este artículo?

Ayuda

Aplicación de SSLmarket