PASO 1: Generar un CSR o petición de firma.
Nota: Las llaves y los certificados se manejan a través de tres scripts: genkey, getca y genreq. Éstos son parte de la distribución normal de Stronghold. Las llaves y los certificados se almacenan en el directory $ssltop/private /, donde SSLTOP es normalmente /usr/local/ssl.
Para generar las llaves (key) y un CSR para tu servidor:
-- Activa genkey, especificando el nombre del alojamiento (hostname).
El script de genkey muestra los nombres y la localizacion de los archivo llave y CSR:
Archivo llave: /usr/local/www/sslhostname.key
Archivo del CSR: /usr/local/www/sslhostname.cert
Nota: Si ya tienes una llave para tu servidor, haz funcionar el genreq [ servername ] (nombe del servidor) para generar solamente el CSR.
- Presiona “Enter”. El script de genkey te recuerda que debes asegurarte antes de sobrescribir el actual "par de llaves" ni el "certificado".
- Añade un tamaño en bits para tu llave. Se recomienda que utilizes el tamaño más grande que dispongas.
- Introduce aleatoriamente las llaves asignadas. Para en el momento que el contador llege a cero y le generador de llaves te avise. Este proceso se realiza para crear una unica llave pública y par de llaves privasdas.
- Cuando se lo pregunte, responda ' y ' para crear el par de llaves y el CSR.
- En CA selecciona 'otro' (“other”).
- Introduce el código 2 letras de tu país. Debes utilizar el código de país correcto de la ISO, otras abreviaturas no serán reconocidas. Por ejemplo el código correcto para el España será ES, no valdría ESP.
- Nombre completo de tu región o provincia. No abrevies.
- Nombre de tu ciudad, u otra localidad o lugar.
- Nombre de tu organización.
- Nombre del departamento dentro de tu organización
- Nombre completo del dominio por el que solicitas el certificado. ( Por ejemplo www.dominio.com / subdominio.dominio.net / dominio.org). Esto también se conoce como "nombre común" de tu sitio web.
-Cuando hayas acabado de introducir los datos del CSR, el genkey creará automáticamente el CSR.
Mantén tu archivos de "clave" y el "CSR" en un diskette o almacénelo en su disco duro de forma segura. Si pierdes la llave privada o se te olvida la contraseña, no podrás instalar tu certificado.
PASO 2: Instalación SSL
Primero instalaremos el certificado expedido a tu nombre de dominio, subdominio o dirección IP, y posteriormente los certificados intermedios:
1) Instalación del certificado propio
Abre el archivo del certificado principal (www_sudominio_com.crt) utilizando un editor de texto. Este certificado tendrá la siguiente apariencia:
—–BEGIN CERTIFICATE—–
MIAGCSqGSIb3DQEHAqCAMIACAQExADALB
UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3D
(…….)
E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJ
K99c42ku3QrlX2+KeDi+xBG2cEIsdSiXeQS/
—–END CERTIFICATE—–
Copia el certificado en un directorio seguro que utilices exclusivamente para este fin. En este ejemplo de instalación utilizaremos /etc/ssl/crt. Los archivos de ambas llaves, la pública y la privada, ya deben existir en este directorio.
La llave privada utilizada en el ejemplo será definida como private.key y la llave pública, como www_sudominio_com.crt.
2) Instalación del certificado ca-bundle (certificados intermedios)
Además del certificado principal, deberás instalar un certificado compuesto "ca-bundle", que incluye los dos certificados intermedios de la Autoridad Certificadora (CA) y el certificado principal de tu servidor para garantizar sesiones de 128 bits con los navegadores. Este certificado lo recibirás por e-mail junto con el certificado propio.
Deberás realizar los siguientes pasos:
1. Copia este archivo comprimido (CA-Bundle), en el directorio /etc/ssl/crt
2. Añade las siguientes líneas en la sección SSL del archivo "httpd.conf". Si la línea ya existe, modifícala para que se lea como sigue:
SSLCertificateFile /etc/ssl/crt/www_sudominio_com.crt
SSLCertificateKeyFile /etc/ssl/crt/private.key
SSLCertificateChainFile /etc/ssl/crt/www_sudominio_com.ca-bundle
Si estás utilizando una localización y nombres de certificado diferentes necesitarás cambiar la ruta y el nombre de archivo para que coincida en tu servidor.
Guarda el archivo httpd.conf y finalmente reinicia el servidor Apache.