Configurar un certificado SSL en un servidor Debian


Introducción


El protocolo SSL (Secure Socket Layer) está destinado a encriptar de manera segura los datos intercambiados entre dos máquinas. En su servidor dedicado, puede ser útil utilizar SSL con el fin de proteger datos sensibles.

Encontrará más información sobre el funcionamiento de SSL en esta página.

Procedimiento


Antes de poder activar/generar un certificado SSL, hace falta verificar que la opción está bien activada en su máquina. En la Release, Apache ha sido compilado por defecto con SSL; basta con indicarle dónde debe adquirir el certificado al iniciarse.

Esta guía le ayudará a configurar el SSL con la distribución Debian.

Preparativos y pasos previos

Requisitos


  • Un nombre de dominio
  • Un certificado SSL para este nombre de dominio o uno de los subdominios
  • Suponemos que la clave privada, la cadena de certificación y el certificado han sido colocados en el directorio /root/ de su servidor dedicado.

  • Un servidor dedicado con la distribución Debian
  • Acceso al servidor a través de SSH (mediante root) : SshSobreServidorDedicado


Añadir IP Fail-over


Cada certificado está unido a una única IP. Para no utilizar la IP principal, en este ejemplo añadimos una IP Fail-over y la configuramos como Alias.

Para ello siga las guías : IpFailover y NuevoAliasIp


Instalar los paquetes


Actualice las fuentes y a continuación instale apache2 y openssl :


debian:~# apt-get update

debian:~# apt-get install apache2 openssl



Configuración de Apache


Edite el fichero /etc/apache2/ports.conf con ayuda del comando nano y añada la línea Listen 443 a continuación de Listen 80 :

Acerca del editor nano : CTRL+O => para guardar - CTRL+X => para salir



ns3773:~# cat /etc/apache2/ports.conf
Listen 80
Listen 443


Cree ahora los enlaces simbólicos siguientes para cargar el módulo SSL en Apache 2 :


debian:~# ln -s /etc/apache2/mods-available/ssl.load /etc/apache2/mods-enabled/ssl.load

debian:~# ln -s /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-enabled/ssl.conf



Puesta en marcha del certificado SSL


Descarque los ficheros del certificado disponibles en su proveedor :
  • private.key
  • certificate-chain.crt
  • certificate.crt

Suponemos que la clave privada, la cadena de certificación y el certificado han sido colocados en el directorio /root/ de su servidor dedicado.


debian:~# mkdir /etc/apache2/ssl.crt/
debian:~# cd /etc/apache2/ssl.crt/
debian:~# cp /root/private.key ./
debian:~# cp /root/certificate-chain.crt ./
debian:~# cp /root/certificate.crt ./
debian:~# chmod 400 private.key
debian:/etc/apache2/ssl.crt# ll
total 24
drwxr-xr-x 2 root root 4096 2007-11-02 18:00 .
drwxr-xr-x 8 root root 4096 2007-11-02 18:02 ..
-rw-r--r-- 1 root root 5637 2007-11-02 18:00 certificate-chain.crt
-rw-r--r-- 1 root root 1982 2007-11-02 18:00 certificate.crt
-r-------- 1 root root 1743 2007-11-02 18:00 private.key



Para que Apache no solicite la passphrase de la clave privada cada vez que se inicie, es recomendable desencriptar la clave previamente:

# openssl rsa -in private.key > private-deprotect.key


Si desea hacerlo, reemplace private.key por private-deprotect.key a lo largo de la guía.

Puesta en marcha del Virtual host


Con ayuda de un editor de texto como pico, edite el fichero /etc/apache2/mods-enabled/ssl.conf

Añada las líneas siguiente antes del identificador </IfModule> :

NameVirtualHost 87.xx.xxx.xx:443

<VirtualHost 87.xx.xxx.xx:443>
ServerAdmin postmaster@mi_dominio.com
DocumentRoot /home/mi_login/www
Servername www.mi_dominio.com
SSLEngine on
SSLCertificateFile /etc/apache2/ssl.crt/certificate.crt
SSLCertificateKeyFile /etc/apache2/ssl.crt/private.key
SSLCACertificateFile /etc/apache2/ssl.crt/certificate-chain.crt
ScriptAlias /cgi-bin/ /home/mondomai/cgi-bin/
</VirtualHost>


El login de su espacio en este caso es mi_login y el espacio web está en /home/mi_login/www. Esto puede cambiar en función de su configuración.


Finalización


Reinicie Apache para leer la nueva configuración:

debian:~# /etc/init.d/apache2 restart
debian::/etc/apache2/ssl.crt# /etc/init.d/apache2 restart
Forcing reload of web server (apache2)... waiting Apache/2.2.3 mod_ssl/2.2.3 (Pass Phrase Dialog)



Si no ha desencriptado la clave privada, indique su contraseña passphrase solicitada - es aquella que ha indicado durante la creación de la llave privada private.key) :



Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server www.mi_dominio.com:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.
.



En caso de error, revise el fichero de LOG /var/log/apache2/error.log


Verifique que Apache funciona bien en el puerto 443 :


debian:~# netstat -tanpu | grep ":443"

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 11015/apache2





Haga la prueba en https://www.mi_dominio.com/




Volver a las guías sobre SSL en OVH : GuiaSSL

Más información


: RecupSSL :: Gestión del certificado SSL de OVH

: ServidorSSL :: Certificados SSL en un servidor dedicado Release 1
: ServidorCertificados :: Certificados SSL en un servidor dedicado Release 2
: PleskCertificadosSSL :: Certificados SSL en un servidor dedicado Plesk