Configurar un certificado SSL de OVH en la Release1 (Red Hat)

Introducción

El protocolo SSL (Secure Socket Layer) está destinado a encriptar de manera segura los datos intercambiados entre dos máquinas. En su servidor dedicado, puede ser útil utilizar SSL con el fin de proteger datos sensibles.

Encontrará más información sobre el funcionamiento de SSL en esta página.

Procedimiento
Antes de poder activar/generar un certificado SSL, hace falta verificar que la opción está bien activada en su máquina. En la Release, Apache ha sido compilado por defecto con SSL; basta con indicarle dónde debe adquirir el certificado al iniciarse.

Esta guía le ayudará a configurar el SSL de pago adquirido en OVH con la distribución Release 2.

Preparativos y pasos previos

Requisitos

Un nombre de dominio en OVH
Un certificado SSL para este nombre de dominio o uno de los subdominios, adquirido en OVH (en el ejemplo www.mi_dominio.com) : PedidoSsl

Un servidor dedicado con la distribución OVH Release 1 (Red Hat)
Acceso al servidor a través de SSH (mediante root) : SshSobreServidorDedicado
Suponemos que la clave privada, la cadena de certificación y el certificado han sido colocados en el directorio /root/ de su servidor dedicado.

Añadir IP Fail-over
Cada certificado está unido a una única IP. Para no utilizar la IP principal, en este ejemplo añadimos una IP Fail-over y la configuramos con ayuda del OVHm como Alias.

Para ello siga las guías : IpFailover y NuevoAliasIp

Configuration de Named

Editez le fichier /var/named/mi_dominio.com.hosts à l'aide de la commande pico et indiquez votre IP Failover pour le domaine ou sous-domaine de votre certificat, ici www.mi_dominio.com :

: N'oubliez pas de mettre le serial SOA a jour vers la date du jour : 2007103001

Infos de la commande pico :
CTRL+O => pour enregistrer
CTRL+X => pour quitter

[root@alexandre root]# cat /var/named/mi_dominio.com.hosts
$ttl 86400
mi_dominio.com. IN SOA mi_dominio.com. webmaster.mi_dominio.com. (
2007103001
21600
3600
604800
86400 )
IN NS nsXXXX.ovh.net.
IN NS sdns1.ovh.net.
IN MX 10 mail.mi_dominio.com.
IN A 213.xxx.xxx.xxx
www IN A 87.xx.xxx.xx
ftp IN A 213.xxx.xxx.xxx
mail IN A 213.xxx.xxx.xxx

Redémarrez Alors named :

[root@alexandre root]# /etc/init.d/named restart

Mise en place du certificat SSL

Dans un premier temps nous allons déposer la clé privée créée lors dans la commande dans /usr/local/apache/conf/ssl.key

[root@alexandre root]# cd /usr/local/apache/conf/ssl.key/
[root@alexandre ssl.key]# cp /root/private.key ./
[root@alexandre ssl.key]# pwd ; ll private.key
/usr/local/apache/conf/ssl.key
-rw-r--r-- 1 root root 1743 oct 30 16:59 private.key
[root@alexandre ssl.key]# chmod 400 private.key
[root@alexandre ssl.key]# pwd ; ll private.key
/usr/local/apache/conf/ssl.key
-r-------- 1 root root 1743 oct 30 16:59 private.key

Afin qu'apache ne demande pas la passphrase de la clé privé a chaque redémarrage, Il est conseillé de décrypter la clé au préalable:

openssl rsa -in private.key > private-deprotect.key

Si vous partez sur cette méthode, remplacez private.key par private-deprotect.key dans la suite du guide.

Téléchargez ensuite les .crt disponibles dans le MANAGER > Certificats SSL > Récupérer le certificat SSL puis copiez le dans /usr/local/apache/conf/ssl.crt

[root@alexandre ssl.key]# cd /usr/local/apache/conf/ssl.crt/
[root@alexandre ssl.crt]# cp /root/certificate-chain.crt ./
[root@alexandre ssl.crt]# cp /root/certificate.crt ./
[root@alexandre ssl.crt]# pwd ; ll certificate*
/usr/local/apache/conf/ssl.crt
-rw-r--r-- 1 root root 5053 oct 30 17:10 certificate-chain.crt
-rw-r--r-- 1 root root 2051 oct 30 17:10 certificate.crt
[root@alexandre ssl.crt]#

Modifiez ensuite la configuration d'Apache.

Editez ici le fichier /etc/sysconfig/apache à l'aide de la commande pico et retirer le # devant OPTIONS="-DSSL"

[root@alexandre root]# cat /etc/sysconfig/apache
# Uncomment the following line and restart Apache to activate SSL
# OPTIONS="-DSSL"
[root@alexandre root]# pico /etc/sysconfig/apache
[root@alexandre root]# cat /etc/sysconfig/apache
# Uncomment the following line and restart Apache to activate SSL
OPTIONS="-DSSL"
[root@alexandre root]#

Mise en place du VirtualHost?

Nous vérifions dans un premier temps que apache ecoute bien sur le port 443. Si Listen 443 est commenté, retirez le #

[root@alexandre root]# grep ^Listen /httpd.conf
Listen 80
Listen 443
[root@alexandre root]#

Ensuite éditez à l'aide de la commande pico le fichier /httpd.conf
Nous avons ici 3 éléments à insérer obligatoirement :
- La clé privée
- Le certificat
- La chaine de certification

Ajoutez alors les lignes :

NameVirtualHost? 87.xx.xxx.xx:443

<VirtualHost? 87.xx.xxx.xx:443>
ServerAdmin? postmaster@mi_dominio.com
DocumentRoot? /home/mi_login/www
User mi_login
Group users
Servername www.mi_dominio.com
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl.crt/certificate.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/private.key
SSLCACertificateFile /usr/local/apache/conf/ssl.crt/certificate-chain.crt
Customlog logs/mi_login-acces_log combined
ScriptAlias? /cgi-bin/ /home/mi_login/cgi-bin/
</VirtualHost>

Redemarrez Apache
[root@alexandre root]# /etc/init.d/httpd restart
Arrêt de httpd : [ OK ]
Démarrage de httpd : [ OK ]
[root@alexandre root]#

En cas d'ECHEC, reportez vous au fichier de log /var/log/httpd/error_log

Indiquez alors votre passphrase comme demandé (C'est celle que vous avez indiqué à la création de la clé privée private.key) :

Server www.mi_dominio.com:443 (RSA)
Enter pass phrase:

Vérifiez que Apache tourne bien sur le port 443 :

[root@alexandre root]# netstat -tanpu | grep ":443"
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 8965/httpd

Faites le test d'accès à https://www.mi_dominio.com/

Volver a las guías sobre SSL en OVH : GuiaSSL

Más información

: RecupSSL :: Gestión del certificado SSL de OVH

: ServidorSSL :: Certificados SSL en un servidor dedicado Release 1
: ServidorCertificados :: Certificados SSL en un servidor dedicado Release 2
: PleskCertificadosSSL :: Certificados SSL en un servidor dedicado Plesk