Escenario
Tienes una web con un certificado de un vendedor que va a expirar, o no tienes certificado y, por la razón que sea, quieres uno de pago.Objetivo
Necesitas instalar o renovar un certificado SSL proporcionado por uno de los vendedores tradiciones, Comodo, Symantec, Geotrust, etc… Usaremos a modo de ejemplo el subdominio ssl.technoage.net.Pasos
1. Solicitud del certificado
Lo primero que vas a necesitar es una clave privada. La generaremos con openssl, de modo que si no lo tienes instalado:
$ sudo apt-get install openssl
A continuación generamos una clave privada con el comando siguiente:
$ openssl genrsa -out ssl.technoage.net.key 2048
La clave privada la vamos a necesitar para generar el CSR (Certificate Signing Request)
que mandaremos a nuestro proveedor para que nos genere el certificado:
$ openssl req -new -newkey rsa:2048 -nodes -keyout ssl.technoage.net.key -out ssl.technoage.net.csr
Para su generación tendremos que introducir una serie de datos:
- Common Name
- El nombre del dominio. ssl.technoage.net. (Si estuviéramos solicitando un certificado comodín, *.technoage.net)
- Organization Name
- El nombre legal de tu organización. Technoage Inc.
- City/locality
- La localidad donde esté ubicada tu localización. Madrid
- State/province
- La provincia a la que pertenece la localidad. Madrid
- Country/region
- El código estándar (ISO) del país al que pertenece tu organización. ES
NB: la contraseña ha de dejarse en blanco.Una vez generado el CSR, se lo mandaremos a nuestro proveedor. Por lo general, suelen habilitar un formulario en el que pegamos el contenido del fichero ssl.technoage.net.csr cuando solicitamos el certificado. El certificado suelen mandarlo por email a la cuenta de administración del dominio. Por esto es importante asegurarse que tenemos configurado el buzón de correo de antemano (admin, administrator, postmaster…).
2. Instalación del certificado
Nuestro proveedor ha de habernos facilitado el certificado. Normalmente, aparte del certificado, también nos mandan un CA Bundle que contiene los certificados root e intermediarios. Nombraremos los ficheros de la siguiente manera:- El ca-bundle: ssl.technoage.net.pem
- El certificado (fichero con extensión .crt): ssl.technogage.net.crt
3. Configuración servidor web
nginx Añadimos o modifimos las siguientes entradas en el apartado server del fichero /etc/nginx/conf.d/ssl.technoage.net.confssl_certificate /etc/ssl/certs/ssl.technoage.net.crt;ssl_certificate_key /etc/ssl/certs/ssl.technoage.net.key;ssl_trusted_certificate /etc/ssl/certs/ssl.technoage.net.pem; Y reiniciamos el servidor: $ sudo systemctl restart nginx apache Añadimos o modifimos las siguientes entradas en el apartado virtualhost del fichero /etc/apache/sites-enabled/ssl.technoage.net.conf
SSLCertificateFile /etc/ssl/certs/ssl.technoage.net.crtSSLCertificateKeyFile /etc/ssl/certs/ssl.technoage.net.key Y reiniciamos el servidor: $ sudo service apache2 restart