CONFIGURAR SSL EN APACHE HTTPD (CENTOS / FEDORA / RHEL)

junio 8, 2010 por sedlav en BSD, GNU/Linux, Internet, Network

Conceptos
SSL / TLS (Secure Socket Layer / Transport Layer Security): son protocolos criptogrficos que permiten establecer un canal de comunicacin segura en Internet: web, correo, fax y mensajera instantnea CA (Certificate Authoritative): entidad reconocida a nivel mundial encargada de generar certificados de seguridad para terceros. CSR (Certificate Signing Request ): es una solicitud de firmado de certificado a una CA.

Procedimiento para obtener certificados de seguridad

o o o o o

1. Crear claves pblicas y privadas 2. Crear CSR. El CSR debe tener la siguiente informacin - Cdigo del pas (2 letras) - Estado o provincia - Ciudad - Empresa o nombre de la organizacin - Departamento

o o

- Dominio o IP - Correo electrnico 3. Contactar con una CA 4. Enviar el CSR a CA 5. CA devuelve el certificado firmado 6. Configurar el certificado sobre el servicio deseado

Los paso 3 y 4 pueden omitirse y obtenerse un certificado autofirmado, sin costo alguno, pero obtener un certificado firmado por una CA tiene las siguientes ventajas:

- Fuerte nivel de encriptacin - La autencidad del certificado es respaldada por una entidad reconocida a nivel mundial

- La raz de los certificados son includos en la mayora de los navegadores - El proceso de conexin segura es transparente al usuario

Algunas CA
VeriSign: Es una de las CA lideres a nivel mundial, genera certificados con / hasta 256 bit de encriptacin. Thawte: Otras de las CA lideres en el mundo, tambien ofrece diferentes tipos de certificados con un nivel de encriptacin de hasta 256 bit

Generar certificado autofirmado

Generar llave privada

# openssl genrsa -out ca.key 1024

Generar peticin de certificado

# openssl req -new -key ca.key -out ca.csr

A continuacin debemos especificar los datos que nos solicita openssl, se debe prestar especial atencin al dato Common Name pues debe coincidir con el dominio o IP a travs del cual haremos peticiones seguras si no coincide el certificado no funcionar

Generar certificado
# openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

Mover ficheros a los directorios correspondientes

# mv -v ca.crt /etc/pki/tls/certs # mv -v ca.key /etc/pki/tls/private/ # mv -v ca.csr /etc/pki/tls/private/

Actualizar configuracin del Apache

Editar httpd.conf
# vim +/NameVirtualHost /etc/httpd/conf/httpd.conf

Aadir al httpd.conf

NameVirtualHost *:443

Editar ssl.conf
# vim /etc/httpd/conf/ssl.conf

Actualizar las siguientes directivas

<VirtualHost *:443> SSLCertificateFile /etc/pki/tls/certs/ca.crt SSLCertificateKeyFile /etc.pki/tls/private/ca.key

Reiniciar el Apache
# service httpd graceful

Lecturas recomendadas
Transport Layer Security
http://flossblog.wordpress.com/2010/06/08/configurar-ssl-en-apache-httpd-centos-fedora-rhel/