Instalación certificado SSL de un vendedor

Escenario

Tienes una web con un certificado de un vendedor que va a expirar, o no tienes certificado y, por la razón que sea, quieres uno de pago.

Objetivo

Necesitas instalar o renovar un certificado SSL proporcionado por uno de los vendedores tradiciones, Comodo, Symantec, Geotrust, etc… Usaremos a modo de ejemplo el subdominio ssl.technoage.net.

Pasos

1. Solicitud del certificado

Lo primero que vas a necesitar es una clave privada. La generaremos con openssl, de modo que si no lo tienes instalado:

$ sudo apt-get install openssl

A continuación generamos una clave privada con el comando siguiente:

$ openssl genrsa -out ssl.technoage.net.key 2048

La clave privada la vamos a necesitar para generar el CSR (Certificate Signing Request) que mandaremos a nuestro proveedor para que nos genere el certificado:

$ openssl req -new -newkey rsa:2048 -nodes -keyout ssl.technoage.net.key -out ssl.technoage.net.csr

Para su generación tendremos que introducir una serie de datos:

Common Name: El nombre del dominio. ssl.technoage.net. (Si estuviéramos solicitando un certificado comodín, *.technoage.net)
Organization Name: El nombre legal de tu organización. Technoage Inc.
City/locality: La localidad donde esté ubicada tu localización. Madrid
State/province: La provincia a la que pertenece la localidad. Madrid
Country/region: El código estándar (ISO) del país al que pertenece tu organización. ES

NB: la contraseña ha de dejarse en blanco.

Una vez generado el CSR, se lo mandaremos a nuestro proveedor. Por lo general, suelen habilitar un formulario en el que pegamos el contenido del fichero ssl.technoage.net.csr cuando solicitamos el certificado. El certificado suelen mandarlo por email a la cuenta de administración del dominio. Por esto es importante asegurarse que tenemos configurado el buzón de correo de antemano (admin, administrator, postmaster…).

2. Instalación del certificado

Nuestro proveedor ha de habernos facilitado el certificado. Normalmente, aparte del certificado, también nos mandan un CA Bundle que contiene los certificados root e intermediarios. Nombraremos los ficheros de la siguiente manera:

El ca-bundle: ssl.technoage.net.pem
El certificado (fichero con extensión .crt): ssl.technogage.net.crt

También vamos a necesitar la clave privada que generamos anteriormente. Esos tres ficheros los copiaremos a /etc/ssl/certs: $ sudo cp ssl.technogage.net.crt ssl.technoage.net.pem ssl.technoage.net.key /etc/ssl/certs/

3. Configuración servidor web

nginx Añadimos o modifimos las siguientes entradas en el apartado server del fichero /etc/nginx/conf.d/ssl.technoage.net.conf

ssl_certificate /etc/ssl/certs/ssl.technoage.net.crt;ssl_certificate_key /etc/ssl/certs/ssl.technoage.net.key;ssl_trusted_certificate /etc/ssl/certs/ssl.technoage.net.pem; Y reiniciamos el servidor: $ sudo systemctl restart nginx apache Añadimos o modifimos las siguientes entradas en el apartado virtualhost del fichero /etc/apache/sites-enabled/ssl.technoage.net.conf

SSLCertificateFile /etc/ssl/certs/ssl.technoage.net.crtSSLCertificateKeyFile /etc/ssl/certs/ssl.technoage.net.key Y reiniciamos el servidor: $ sudo service apache2 restart

Como podéis ver es un poco más laborioso (y costoso) que hacerlo con let’s encrypt

Añadido el 11/01/2022:

Puede darse el caso, como me ha pasado con los certificados de Comodo (ahora llamado Sectigo) que el orden de los certificados en su bundle no se correspondan con los que espera el servidor. Bastaría entonces editar el fichero e invertir el orden.