Un certificado autofirmado tiene la desventaja de cada vez que alguien
visite tu sitio por primera vez tiene que aceptar el certificado de todos
modos aquí como generarlo

# Configurar SSL en Apache HTTPD

- Por [sedlav](https://www.librebyte.net/author/sedlav/) en [Seguridad y
criptografía](https://www.librebyte.net/category/seguridad-y-criptografia/)

#### Conceptos

**SSL / TLS (Secure Socket Layer / Transport Layer Security):** son
protocolos criptográficos que permiten establecer un canal de comunicación
segura en Internet: web, correo, fax y mensajería instantánea

**CA (Certificate Authoritative):** entidad reconocida a nivel mundial
encargada de generar certificados de seguridad para terceros.

**CSR (Certificate Signing Request ):** es una solicitud de firmado de
certificado a una CA.

#### Procedimiento para obtener certificados de seguridad

- 1. Crear claves públicas y privadas

- 2. Crear CSR. El CSR debe tener la siguiente información
  - - Código del país (2 letras)
  - - Estado o provincia
  - - Ciudad
  - - Empresa o nombre de la organización
  - - Departamento
  - - Dominio o IP
  - - Correo electrónico

- 3. Contactar con una CA

- 4. Enviar el CSR a CA

- 5. CA devuelve el certificado firmado

- 6. Configurar el certificado sobre el servicio deseado

Los paso 3 y 4 pueden omitirse y obtenerse un certificado autofirmado, sin
costo alguno, pero obtener un certificado firmado por una CA tiene las
siguientes ventajas:

-  Fuerte nivel de encriptación
-  La autencidad del certificado es respaldada por una entidad reconocida a
nivel mundial
-  La raíz de los certificados son incluídos en la mayoría de los
navegadores
-  El proceso de conexión segura es transparente al usuario

#### Generar certificado autofirmado

##### Generar llave privada

```
# openssl genrsa -out ca.key 1024
```

##### Generar petición de certificado

```
# openssl req -new -key ca.key -out ca.csr
```

A continuación debemos especificar los datos que nos solicita openssl, se
debe prestar especial atención al dato Common Name pues debe coincidir con
el dominio o IP a través del cual haremos peticiones seguras si no coincide
el certificado no funcionará

##### Generar certificado

```
# openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
```

##### Mover ficheros a los directorios correspondientes

```
# mv -v ca.crt /etc/pki/tls/certs
```

```
# mv -v ca.key /etc/pki/tls/private/
```

```
# mv -v ca.csr /etc/pki/tls/private/
```

#### Actualizar configuración del Apache

##### Editar httpd.conf

```
# vim +/NameVirtualHost  /etc/httpd/conf/httpd.conf
```

##### Añadir al httpd.conf

```
NameVirtualHost *:443
```

##### Editar ssl.conf

```
# vim  /etc/httpd/conf/ssl.conf
```

##### Actualizar las siguientes directivas

```
<VirtualHost *:443>
SSLCertificateFile /etc/pki/tls/certs/ca.crt
SSLCertificateKeyFile /etc.pki/tls/private/ca.key
```

##### Reiniciar el Apache

```
# service httpd graceful
```

Fuente:
https://www.librebyte.net/seguridad-y-criptografia/configurar-ssl-en-apache-httpd/


On Thu, Oct 22, 2020 at 10:48 AM Osmany Oconor Estrada <
osmany.oco...@icrt.cu> wrote:

> algo así?
> https://help.dreamhost.com/hc/es/articles/215767487--C%C3%B3mo-agrego-un-certificado-SSL-autofirmado-gratuito-
>
> ------------------------------
> *De: *administra...@plast.co.cu
> *Para: *"Lista cubana de soporte técnico en Tecnologias Libres" <
> gutl-l@listas.jovenclub.cu>
> *Enviados: *Jueves, 22 de Octubre 2020 11:46:35
> *Asunto: *[Gutl-l] Re: Duda en certificado para sitio web
>
> De hecho no existe opción alguna para yo mismo poder poner el certificado..
>
>
>
> 22 de octubre de 2020 11:35, "Jesús Roque Travieso" <jro...@ecc.cu
> <jro...@ecc.cu?to=%22jes%c3%bas%20roque%20travieso%22%20%3cjro...@ecc.cu%3E>>
> escribió:
>
> creo que con etecsa puedes gestionar el certificado, es decir que ellos te
> proporcionen uno, generarlo uno mismo no es malo, pero lo recomendable es
> que tu gestiones el certificado y tu lo pongas, por lo que veo el sitio es
> un hosting
> ------------------------------
> *De:* administra...@plast.co.cu [administra...@plast.co.cu]
> *Enviado:* jueves, 22 de octubre de 2020 11:11
> *Para:* Lista cubana de soporte técnico en Tecnologias Libres
> *Asunto:* [Gutl-l] Re: Duda en certificado para sitio web
> Sucede que recientemente hice la web nacional de mi empresa pero resulta
> que necesito uncertificado autofirmado para enviarlo a ETECSA para que
> ellos se lo pongan y le cambien el protocolo a https que es lo orientado,
> el sitio se encuentra alojado en su servidor no en el de mi empresa...
> quizas alguno de ustedes haya tenido que hacer algo similar...cualquier
> ayuda es valida..mis disculpas si esto no tiene que ver con la lista GULT
> por lo que les pido que si conocen algo de esto queme escriban a mi
> correo..por cierto el sitio es http://www.eir.co.cu de paso si pueden
> necesito criticas a la maxima expresion para mejorarlo...
>
> Salu2
>
> 22 de octubre de 2020 10:26, "Jesús Roque Travieso" <jro...@ecc.cu
> <jro...@ecc.cu?to=%22jes%c3%bas%20roque%20travieso%22%20%3cjro...@ecc.cu%3E>>
> escribió:
>
> Pero es vos o hosring el sitio??
> Enviado desde mi smartphone Samsung Galaxy.
> -------- Mensaje original --------
> De: administra...@plast.co.cu
> Fecha: 22/10/20 07:50 (GMT-05:00)
> A: Lista cubana de soporte técnico en Tecnologias Libres <
> gutl-l@listas.jovenclub.cu>
> Asunto: [Gutl-l] Duda en certificado para sitio web
>
> Buenas tardes..alguien sabe como obtener un certificado para un sitio web
> que este alojado en ETECSA..
>
>
>
>
>
> _______________________________________________
> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
> _______________________________________________
> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
>


-- 
Yoander Valdés Rodríguez
GNU/Linux SysAdmin
Desarrollador PHP
https://www.librebyte.net
https://www.youtube.com/c/LIbreByte
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu

Responder a