sábado, 5 de marzo de 2016

Asegurar un sitio web en Ubuntu con un certificado PFX solicitado en una PKI Windows

Hay veces que las empresas tienen su PKI para asegurar todos los servicios windows.
Como suele ser de Directorio Activo, todos los equipos de la empresa confían automáticamente en esa CA. 
Pero que pasa si quiero asegurar un sitio apache/linux. Pues se suele hacer un certificado autofirmado en el que nadie confía.

Pues esto se soluciona en el siguiente video:


Los pasos son los siguientes:


Certificados

Obtener el certificado en la PKI Windows

  • Certificado de autenticación del servidor
  • Marcar la clave como exportable
  • Nombre descriptivo igual al que vas a poner en la URL del navegador




Llevar el certificado al ubuntu y:

Clave pública  del sitio

openssl pkcs12   -in apacheXX.domi.com.pfx   -clcerts -nokeys  -out apacheXX.domi.com.cer

Clave privada  del sitio

openssl pkcs12   -in apacheXX.domi.com.pfx   -nocerts -nodes  -out apacheXX.domi.com.key

Clave de la CA (Autoridad Certificadora)

openssl pkcs12   -in apacheXX.domi.com.pfx -nodes -nokeys -cacerts  -out  WS2012XX-CA-1.crt    

Explicación de valores

-nocerts               don't output certificates.
-clcerts                only output client certificates.
-cacerts               only output CA certificates.
-nokeys               don't output private keys.

Habilitar módulo SSL en Apache

Se debe habilitar el módulo SSL en el servidor para poder asegurar sitios web
a2enmod ssl

Configuración de Apache.

Configuración a añadir al sitio web que quiero asegurar. Dentro de la directiva virtualhost:443

 SSLEngine on
 SSLCertificateFile          /etc/ssl/private/apacheXX.domi.com.cer
 SSLCertificateKeyFile     /etc/ssl/private/apacheXX.domi.com.key
 SSLCACertificateFile      /etc/ssl/certs/WS2012XX-CA.crt
 ...


Los certificados los puedes crear en ubuntu donde quieras. pero debería acabar en las carpetas /etc/ssl.


Espero que os haya servido.
Un saludo

No hay comentarios: