Un certificado autofirmado tiene la desventaja de cada vez que alguien visite tu sitio por primera vez tiene que aceptar el certificado de todos modos aquí como generarlo
# Configurar SSL en Apache HTTPD - Por [sedlav](https://www.librebyte.net/author/sedlav/) en [Seguridad y criptografía](https://www.librebyte.net/category/seguridad-y-criptografia/) #### Conceptos **SSL / TLS (Secure Socket Layer / Transport Layer Security):** son protocolos criptográficos que permiten establecer un canal de comunicación segura en Internet: web, correo, fax y mensajería instantánea **CA (Certificate Authoritative):** entidad reconocida a nivel mundial encargada de generar certificados de seguridad para terceros. **CSR (Certificate Signing Request ):** es una solicitud de firmado de certificado a una CA. #### Procedimiento para obtener certificados de seguridad - 1. Crear claves públicas y privadas - 2. Crear CSR. El CSR debe tener la siguiente información - - Código del país (2 letras) - - Estado o provincia - - Ciudad - - Empresa o nombre de la organización - - Departamento - - Dominio o IP - - Correo electrónico - 3. Contactar con una CA - 4. Enviar el CSR a CA - 5. CA devuelve el certificado firmado - 6. Configurar el certificado sobre el servicio deseado Los paso 3 y 4 pueden omitirse y obtenerse un certificado autofirmado, sin costo alguno, pero obtener un certificado firmado por una CA tiene las siguientes ventajas: - Fuerte nivel de encriptación - La autencidad del certificado es respaldada por una entidad reconocida a nivel mundial - La raíz de los certificados son incluídos en la mayoría de los navegadores - El proceso de conexión segura es transparente al usuario #### Generar certificado autofirmado ##### Generar llave privada ``` # openssl genrsa -out ca.key 1024 ``` ##### Generar petición de certificado ``` # openssl req -new -key ca.key -out ca.csr ``` A continuación debemos especificar los datos que nos solicita openssl, se debe prestar especial atención al dato Common Name pues debe coincidir con el dominio o IP a través del cual haremos peticiones seguras si no coincide el certificado no funcionará ##### Generar certificado ``` # openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt ``` ##### Mover ficheros a los directorios correspondientes ``` # mv -v ca.crt /etc/pki/tls/certs ``` ``` # mv -v ca.key /etc/pki/tls/private/ ``` ``` # mv -v ca.csr /etc/pki/tls/private/ ``` #### Actualizar configuración del Apache ##### Editar httpd.conf ``` # vim +/NameVirtualHost /etc/httpd/conf/httpd.conf ``` ##### Añadir al httpd.conf ``` NameVirtualHost *:443 ``` ##### Editar ssl.conf ``` # vim /etc/httpd/conf/ssl.conf ``` ##### Actualizar las siguientes directivas ``` <VirtualHost *:443> SSLCertificateFile /etc/pki/tls/certs/ca.crt SSLCertificateKeyFile /etc.pki/tls/private/ca.key ``` ##### Reiniciar el Apache ``` # service httpd graceful ``` Fuente: https://www.librebyte.net/seguridad-y-criptografia/configurar-ssl-en-apache-httpd/ On Thu, Oct 22, 2020 at 10:48 AM Osmany Oconor Estrada < osmany.oco...@icrt.cu> wrote: > algo así? > https://help.dreamhost.com/hc/es/articles/215767487--C%C3%B3mo-agrego-un-certificado-SSL-autofirmado-gratuito- > > ------------------------------ > *De: *administra...@plast.co.cu > *Para: *"Lista cubana de soporte técnico en Tecnologias Libres" < > gutl-l@listas.jovenclub.cu> > *Enviados: *Jueves, 22 de Octubre 2020 11:46:35 > *Asunto: *[Gutl-l] Re: Duda en certificado para sitio web > > De hecho no existe opción alguna para yo mismo poder poner el certificado.. > > > > 22 de octubre de 2020 11:35, "Jesús Roque Travieso" <jro...@ecc.cu > <jro...@ecc.cu?to=%22jes%c3%bas%20roque%20travieso%22%20%3cjro...@ecc.cu%3E>> > escribió: > > creo que con etecsa puedes gestionar el certificado, es decir que ellos te > proporcionen uno, generarlo uno mismo no es malo, pero lo recomendable es > que tu gestiones el certificado y tu lo pongas, por lo que veo el sitio es > un hosting > ------------------------------ > *De:* administra...@plast.co.cu [administra...@plast.co.cu] > *Enviado:* jueves, 22 de octubre de 2020 11:11 > *Para:* Lista cubana de soporte técnico en Tecnologias Libres > *Asunto:* [Gutl-l] Re: Duda en certificado para sitio web > Sucede que recientemente hice la web nacional de mi empresa pero resulta > que necesito uncertificado autofirmado para enviarlo a ETECSA para que > ellos se lo pongan y le cambien el protocolo a https que es lo orientado, > el sitio se encuentra alojado en su servidor no en el de mi empresa... > quizas alguno de ustedes haya tenido que hacer algo similar...cualquier > ayuda es valida..mis disculpas si esto no tiene que ver con la lista GULT > por lo que les pido que si conocen algo de esto queme escriban a mi > correo..por cierto el sitio es http://www.eir.co.cu de paso si pueden > necesito criticas a la maxima expresion para mejorarlo... > > Salu2 > > 22 de octubre de 2020 10:26, "Jesús Roque Travieso" <jro...@ecc.cu > <jro...@ecc.cu?to=%22jes%c3%bas%20roque%20travieso%22%20%3cjro...@ecc.cu%3E>> > escribió: > > Pero es vos o hosring el sitio?? > Enviado desde mi smartphone Samsung Galaxy. > -------- Mensaje original -------- > De: administra...@plast.co.cu > Fecha: 22/10/20 07:50 (GMT-05:00) > A: Lista cubana de soporte técnico en Tecnologias Libres < > gutl-l@listas.jovenclub.cu> > Asunto: [Gutl-l] Duda en certificado para sitio web > > Buenas tardes..alguien sabe como obtener un certificado para un sitio web > que este alojado en ETECSA.. > > > > > > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu > -- Yoander Valdés Rodríguez GNU/Linux SysAdmin Desarrollador PHP https://www.librebyte.net https://www.youtube.com/c/LIbreByte
_______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
