Dominio: linux2010.rod
Dirección IP: 10.10.10.87/24
Configuración del servicio HTTPS
Lo primero es crear un directorio donde se almacenarán los certificados para todos los sitios SSL. Por motivos de seguridad, este directorio sólo debe ser accesible para 'root'.
#mkdir –m 0700 /etc/ssl
Se crea un directorio para guardar los certificados de cada sitio virtual SSL.
#mkdir –m 0700 /etc/ssl/linux2010.rod
Después de crear los directorios, accedemos a la carpeta /etc/ssl/linux2010.rod/
A continuación se crea una clave con algoritmo RSA de 1024 bytes y estructura x509, la cual se cifra utilizando Triple DES (Data Encryption Standard), que será guardado en formato PEM de modo que sea interpretado como texto ASCII. La clave es server.key:
#openssl genrsa –des3 –out server.key 1024
#openssl rsa –in server.key –out server.key –out.server.pem
Luego creamos un archivo CSR (Certificate Signing Request):
#openssl req –new –key server.key –out server.csr
A partir de ahora, después de generar server.csr, se puede seguir dos caminos, a) Utilizar OPENSSL para generar un certificado, o b) Utilizar un RA (Registration Authority) (en nuestro caso VeriSign)
a) Utilizando OPENSSL
#openssl x509 –req –days 730 –in server.csr –signkey server.key –out server.crt
b) Utilizando VeriSign® (Trial SSL)
Como ejemplo, utilizaremos el Trial SSL de VerSign®, que luego verificaremos. Se hace la solicitud del certificado SSL con nuestro código de petición server.csr y VeriSign® nos envía el código del certificado. Luego se sigue pasos adicionales para utilizar nuestro trial SSL:
b.1) Descargar el ‘Secure Site Trial Intermediate Certificate’ y ponerle de nombre intermediate.crt
b.2) Descargar e instalar el ‘Secure Site Trial Root CA certificate’ en nuestro buscador (en nuestro caso Firefox).
1. Descargar ‘Secure Site Trial Root CA Certificate’.
2. Guardar el archivo como rootca.cer
3. Abrir el buscador Firefox.
4. Ir a Tools > Options > Advanced > View Certificates >Authorities.
5. Click sobre Import.
6. Ubique y seleccione rootca.cer > click sobre Open.
b.3) Por último, se copia lo que envió VeriSign®, el Trial SSL, y se guarda como verisign.crt en la carpeta /etc/ssl/linux2010.rod/
Finalmente, para que el acceso sea solo para 'root', cambiamos los permisos:
#chmod 400 /etc/ss/linux2010.rod/server.*
*Nota: El paso b.2) solamente se realiza para el caso de Trial SSl de VeriSign®. para un caso real este paso se omite.
Configuración del Servidor Web (Apache)
Se crea la carpeta correspondiente:
#mkdir –p /var/www/linux2010/{cgi-bin,html,logs,etc,var}
Se crea un archivo index.html ubicado en la carpeta /var/www/linux2010/html/
a) Se configura el archivo /etc/httpd/conf.d/linux2010.conf para utilizar el certificado propio. El archivo se debe ver así:
b) Se configura el archivo /etc/httpd/conf.d/linux2010.conf para utilizar el certificado de VeriSign. El archivo se debe ver así:
A fin de que los cambios se reflejen, reiniciamos el servicio httpd:
#service httpd restart