SSL en Apache con certificado de autoridad de prueba - Sitio Web de Javier García Escobedo (javiergarciaescobedo.es)

Generar una clave privada

Si no se dispone de un archivo con una clave privada, es necesario crearlo. Si has seguido las indicaciones del artículo SSL en Apache con certificado autofirmado dispondrás ya de un archivo de clave privada. En caso contrario, la manera más sencilla de crearlo es con la aplicación genrsa de la utilidad openssl, que genera la clave privada en el archivo que indiques como archivoClavePrivada.key, indicando que se genere usando un encriptado de 2048 bits.

openssl genrsa -out archivoClavePrivada.key 2048

Recuerda que para ejecutar la herramienta openssl debes indicar su ruta y la del archivo de configuración de SSL en Apache como se ha explicado en el artículo anterior.

Si quieres más seguridad en tu clave privada, puedes usar la opción -des3 para que la clave sea encriptada con una contraseña.

Generar una solicitud de certificado de firma

Para obtener el certificado de firma que nos suministre una autoridad de confianza se requiere disponer de una solicitud (CSR - Certificate Signing Request). Esta solicitud es un archivo que puede generarse también con la aplicación req de la herramienta openssl, utilizando la clave privada generada anteriormente, y siguiendo el siguiente formato:

openssl req -new -key archivoClavePrivada.key -out archivoCSR.csr

La solicitud se crea en el archivo que hayas indicado como archivoCSR.csr, tras indicar los datos solicitados como se muestra en la imagen (procura no utilizar acentos ni otros caracteres especiales):

sslau01

El archivo que se genera con la solicitud debe tener un formato similar al siguiente:

sslau02

Puedes comprobar si la solicitud es correcta, así como los datos que componen la solicitud en la utilidad que puedes encontrar en https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp https://ssl-tools.verisign.com/#csrValidator.

sslau03

Solicitar el certificado de prueba

Accede a la dirección https://www.symantec.com/es/es/ssl-certificates/secure-site/trialware/ https://ssl-certificate-center.verisign.com/process/retail/trial_initial?application_locale=VRSN_US&tid=symc_vrsn_ssl_try donde puedes obtener de forma gratuita un certificado para tu servidor web para un periodo de 30 días, reconocido por la autoridad VeriSign.

En la primera pantalla te informan de las características del certificado que vas a obtener.

sslau04

Rellena los campos que se solicitan en la siguiente pantalla. Ten en cuenta que en la dirección de correo que indiques recibirás las instrucciones necesarias y el certificado.

sslau05

Ahora es el momento de pegar, en el espacio reservado para ello, el contenido del archivo que se ha creado como solicitud CSR. En la lista desplegable de la parte superior izquierda debes indicar el tipo de servidor que vas a utilizar.

sslau06

Finalmente puede modificar los datos de contacto o terminar tras aceptar los términos de uso. Utiliza el botón Submit para terminar y solicitar que te envíen a la dirección de correo indicada, el certificado.

sslau07

El correo que vas a recibir tiene un contenido similar al siguiente:

ORDER NUMBER: 593899632
COMMON NAME: WWW.MIEMPRESA.COM

Dear Javier García,

Congratulations! Symantec has approved your request for a Trial SSL Certificate, and is included at the end of this email.

In order for your Trial SSL Certificate to function properly, perform all the 3 steps below:

Step 1. Download and install the Test Root CA Certificate.

Open the link below and follow the steps to install the Root certificate in your internet browser:
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO10670

Step 2. Download the Trial SSL Intermediate CA Certificate.

To download the Trial Intermediate CA on each Web server you are testing with, go to:
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR1737

Note: Microsoft Internet Information Services (IIS) 5.0 and above automatically installs the Intermediate
CA Certificate when you install the SSL Certificate and does not require separate installation and can skip this step. All

other Web servers require you to install the Intermediate CA separately.

Step 3. Install the Intermediate CA and your Trial SSL certificate:

For detailed installation instructions for your Trial SSL Certificate and the Intermediate CA, go to:
http://www.verisign.com/support/ssl-certificates-support/install-ssl-certificate.html.

Also, please visit the Symantec Support Web site, where you will find a range of support tools to help you:

https://knowledge.verisign.com/support/ssl-certificates-support/index.html.

Note: After testing your Trial SSL Certificate, you will need to purchase a full-service Secure Site SSL Certificate.
As Symantec has a full range of products to choose from, a sales representative will contact you to assist in implementing

an appropriate security solution specific to your business requirements. Should you wish to contact our sales person

immediately, please dial 866.893.6565 or 650.426.5112 option 3 or send an email to Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Thank you for your interest in Symantec!

Instalar el certificado de "Entidad de certificación raíz de confianza" de prueba de VeriSign

Debes seguir las indicaciones del primer enlace que has recibido en el correo, correspondiente al paso 1, donde se explican los pasos a seguir para cada navegador web.

sslau08

Al finalizar, comprueba que se ha instalado el certificado VeriSign Trial Secure Server Root en la lista de entidades de certificación raíz de confianza.

sslau09

Descargar el certificado intermedio

Utiliza el enlace del paso 2 del correo que has recibido, para mostrar la pantalla con el contenido del certificado intermedio.

sslau10

Debes copiar el contenido del certificado que se muestra y pegarlo en un archivo de texto plano, que debes guardar en la máquina en la que se encuentre el servidor web. Normalmente, los archivos que contienen certificados suelen tener la extensión .crt o .cer, por lo que un buen nombre podría ser intermediate.crt .

Guardar el certificado de tu servidor web

El certificado correspondiente a tu servidor web es el que se muestra al final del correo recibido. Debes copiar el contenido que se muestra desde -----BEGIN CERTIFICATE----- hasta -----END CERTIFICATE-----, incluyendo esas mismas líneas pero nada más.

Todo ese contenido debes pegarlo en un archivo de texto plano en el servidor web, en un archivo que puedes llamar, por ejemplo, public.crt .

Configuración del servidor web apache con el certificado

En el archivo de configuración del servidor web Apache, en la sección correspondiente al servidor o servidor virtual (VirtualHost) que deseas configurar con acceso seguro, debes añadir las siguientes líneas:

SSLEngine on
SSLCertificateFile "/ruta/archivo/certificadoMiServidor.crt"
SSLCertificateKeyFile "/ruta/archivo/clavePrivada.key"
SSLCertificateChainFile "/ruta/archivo/certificadoIntermedio.crt"

Por ejemplo, se podría indicar lo siguiente en una configuración para Windows:

SSLEngine on
SSLCertificateFile "C:\Users\Usuario\public.crt"
SSLCertificateKeyFile "C:\Users\Usuario\private.key"
SSLCertificateChainFile "C:\Users\Usuario\intermediate.crt"

Recuerda reiniciar el servidor web Apache para que los cambios tengan efecto.

Comprobar el funcionamiento

Si accedes al sitio web utilizando el nombre de dominio que has utilizado durante el registro del certificado, debe mostrarse la página web correspondiente con el certificado del protocolo HTTPS verificado por la autoridad de confianza.

sslau11