Instalación certificado SSL de un vendedor

Escenario

Tienes una web con un certificado de un vendedor que va a expirar, o no tienes certificado y, por la razón que sea, quieres uno de pago.

Objetivo

Necesitas instalar o renovar un certificado SSL proporcionado por uno de los vendedores tradiciones, Comodo, Symantec, Geotrust, etc… Usaremos a modo de ejemplo el subdominio ssl.technoage.net.

Pasos

1. Solicitud del certificado

Lo primero que vas a necesitar es una clave privada. La generaremos con openssl, de modo que si no lo tienes instalado:
$ sudo apt-get install openssl
A continuación generamos una clave privada con el comando siguiente:
$ openssl genrsa -out ssl.technoage.net.key 2048
La clave privada la vamos a necesitar para generar el CSR (Certificate Signing Request) que mandaremos a nuestro proveedor para que nos genere el certificado:
$ openssl req -new -newkey rsa:2048 -nodes -keyout ssl.technoage.net.key -out ssl.technoage.net.csr
Para su generación tendremos que introducir una serie de datos:
Common Name
El nombre del dominio. ssl.technoage.net. (Si estuviéramos solicitando un certificado comodín, *.technoage.net)
Organization Name
El nombre legal de tu organización. Technoage Inc.
City/locality
La localidad donde esté ubicada tu localización. Madrid
State/province
La provincia a la que pertenece la localidad. Madrid
Country/region
El código estándar (ISO) del país al que pertenece tu organización. ES
NB: la contraseña ha de dejarse en blanco.
Una vez generado el CSR, se lo mandaremos a nuestro proveedor. Por lo general, suelen habilitar un formulario en el que pegamos el contenido del fichero ssl.technoage.net.csr cuando solicitamos el certificado. El certificado suelen mandarlo por email a la cuenta de administración del dominio. Por esto es importante asegurarse que tenemos configurado el buzón de correo de antemano (admin, administrator, postmaster…).

2. Instalación del certificado

Nuestro proveedor ha de habernos facilitado el certificado. Normalmente, aparte del certificado, también nos mandan un CA Bundle que contiene los certificados root e intermediarios. Nombraremos los ficheros de la siguiente manera:
  • El ca-bundle: ssl.technoage.net.pem
  • El certificado (fichero con extensión .crt): ssl.technogage.net.crt
También vamos a necesitar la clave privada que generamos anteriormente. Esos tres ficheros los copiaremos a /etc/ssl/certs: $ sudo cp ssl.technogage.net.crt ssl.technoage.net.pem ssl.technoage.net.key /etc/ssl/certs/

3. Configuración servidor web

nginx Añadimos o modifimos las siguientes entradas en el apartado server del fichero /etc/nginx/conf.d/ssl.technoage.net.conf

ssl_certificate /etc/ssl/certs/ssl.technoage.net.crt;ssl_certificate_key /etc/ssl/certs/ssl.technoage.net.key;ssl_trusted_certificate /etc/ssl/certs/ssl.technoage.net.pem; Y reiniciamos el servidor: $ sudo systemctl restart nginx apache Añadimos o modifimos las siguientes entradas en el apartado virtualhost del fichero /etc/apache/sites-enabled/ssl.technoage.net.conf

SSLCertificateFile /etc/ssl/certs/ssl.technoage.net.crtSSLCertificateKeyFile /etc/ssl/certs/ssl.technoage.net.key Y reiniciamos el servidor: $ sudo service apache2 restart

Como podéis ver es un poco más laborioso (y costoso) que hacerlo con let’s encrypt

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *