Asistencia para clientes de Nominalia
SSL- Instalación de Certificado en Servidor con Debian o Ubuntu vía SSH
IMPORTANTE: Para esta gestión son necesarios conocimientos de uso de SSH y de servidores. Nominalia no se responsabiliza de los daños que puedan producirse, haz una copia de seguridad de tu servidor antes de iniciar los pasos.
Si tienes un Servidor Dedicado o un VPS sin ningún tipo de panel de gestión como cPanel o Plesk, puede que no sepas cómo instalar un certificado SSL en Debian o Ubuntu por consola de comandos mediante una conexión SSH. En este manual te facilitaremos las instrucciones acerca de cómo realizarlo.
Antes de nada, para Emitir el certificado SSL será necesario que tengas un fichero .CSR y un fichero .KEY (llamado también Clave Privada/Private Key). Si has contratado uno de nuestros Certificados SSL, hazlo desde el panel de Nominalia siguiendo nuestro Manual de Emisión de Certificado SSL, si es un SSL externo, puedes seguir los pasos de la sección "Generar CSR y Clave Privada desde el Servidor" de este manual.
Si ya tienes emitido el Certificado SSL, ve directamente a la sección de Instalación del Certificado SSL.
Generar CSR y Clave Privada desde el Servidor
En este manual utilizamos un servidor Apache en Debian 9 y que serviría también para Ubuntu. Así que, antes de comenzar nada y si no lo tienes instalado, puedes usar apt-get para instalar Apache a través de los repositorios:
$ apt-get install apache2
A continuación, instala el módulo SSL para que el certificado pueda instalarse y funcionar sin problemas:
$ apt-get a2emod ssl
El sitio por defecto de Apache utiliza una plantilla muy útil para activar SSL, así que lo tienes que activar con:
$ a2ensite default-ssl
Este módulo se activará automáticamente durante la instalación y Apache lo podrá iniciar usando un certificado SSL después del reinicio con:
$ service apache2 reload
Ahora, vas a generar las claves CSR y Privada. Para ello, utiliza el comando siguiente:
$ openssl req -new -newkey rsa:2048 -nodes -keyout dominio.ext.key -out dominio.ext.csr
Donde dominio.ext es el nombre de tu dominio, por ejemplo:
A continuación, deberás rellenar el formulario para poder generar ambas claves:
Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default city]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server’s hostname) []: Email Address []:
Recuerda NO completar los siguientes datos, simplemente pulsa Enter para saltarlos y que se generen las claves:
A challenge password []: An optional company name []:
Aquí verás un ejemplo de formulario completado:
Cuando lo hayas generado, podrás consultar los ficheros CSR y KEY con el comando cat. Estos archivos se habrán guardado desde la ubicación donde hayas generado el comando (por ejemplo, /home). Es importante que siempre mantengas guardadas estas claves:
Instalación del Certificado SSL
Si tienes un SSL de Nominalia, cuando cuando el certificado haya sido emitido, ve a tu Zona de Cliente y haz clic en la columna de la derecha sobre el certificado, bajo la sección de “Certificados SSL”:
IMPORTANTE: Si el certificado aparece bajo la sección de "POR ACTIVAR" querrá decir que aún no lo has emitido.
Verás una ventana como la siguiente:
Ahora baja hasta la sección llamada "Su Certificado SSL" y localiza el fichero .CRT que incluye el nombre de tu dominio. Descárgalo a tu ordenador mediante el icono de la flecha:
Si lo abres con el Bloc de Notas de tu ordenador, verás un código que empieza y acaba con lo siguiente:
-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----
Descarga también el "Certificado intermedio" llamado "intermediate-ca.crt" que hay más abajo (también lo podrás abrir con un bloc de notas):
Ahora, tienes que alojar el fichero .CRT y el fichero .KEY (La Clave Privada) en tu servidor. Recuerda que puedes abrir estos archivos en un programa como Bloc de Notas, Gedit, Notepad++, etc. para copiar su contenido.
Accede a tu servidor y a la ruta /etc/apache2, y crea la carpeta ssl con el comando mkdir, es decir.
$ mkdir /etc/apache2/ssl
Así es como debería estar /etc/apache2/ssl:
Puedes copiar y pegar los contenidos de los ficheros con nano o vim dentro de la carpeta correspondiente.
Ahora tendrás que editar el fichero de configuración SSL. Lo encontrarás en /etc/apache2/sites-enabled/default.ssl.conf. Deberás editar las primeras líneas con la información de tu dominio y puerto:
<IfModule mod_ssl.c> <VirtualHost _default_:443> ServerAdmin webmaster@localhost ServerName tudominio.ext:443 DocumentRoot /var/www/html
Además, en este archivo, asegúrate que el SSL está activo:
# SSL Engine Switch: # Enable/Disable SSL for this virtual host. SSLEngine on
También en este mismo documento deberás indicar dónde están los certificados instalados en el proceso de cómo instalar un certificado SSL en Debian o Ubuntu. Te aconsejamos que comentes las siguientes líneas y añadas las tuyas propias:
#SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem #SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt
NOTA: dependiendo de la versión de Apache, la directiva SSLCACertificateFile no será aceptada. Utiliza en su lugar SSLCertificateChainFile, que es lo que utilizaremos en el manual.
En la imagen verás un ejemplo de cómo quedaría todo el documento:
Y reinicia Apache con:
$ service apache2 reload
Tendrás que abrir el puerto 443 para SSL utilizando el siguiente comando:
$ openssl s_client -connect ip_del_servidor:443
Donde ip_del_servidor es la que estés utilizando. Se abrirá el puerto y se mostrará la información del SSL instalado:
Redireccionar dominios a HTTPS
Primero, asegúrate que el siguiente módulo está instalado con el siguiente comando:
$ a2enmod rewrite
Después, edita el fichero de Virtual Host de Apache (que debería estar en /etc/apache2/sites-available) con estas líneas y para tantos dominios como necesites:
<VirtualHost *:80> ServerName midominio.ext Redirect 301 / https://www.midominio.ext </VirtualHost> <VirtualHost *:443> SSLEngine on SSLCertificateFile /etc/apache2/ssl/midominio.ext.crt SSLCertificateKeyFile /etc/apache2/ssl/private.key SSLCertificateChainFile /etc/apache2/ssl/intermediate-ca.crt ServerName midominio.ext ServerAlias www.midominio.ext DocumentRoot /var/www/html (directorio donde el dominio en cuestión está alojado) </VirtualHost>
Un ejemplo sería el siguiente:
Y reinicia Apache con:
$ service apache2 reload
Y para asegurarte de que el sitio redirecciona hacia HTTPS, crea un archivo .htaccess y dentro del DocumentRoot del dominio que necesites. Puedes utilizar el siguiente código editándolo a tus necesidades:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%midominio.ext/$1 [R,L]
Si has seguido todos los pasos correctamente acerca de cómo instalar un certificado SSL en Debian o Ubuntu, tu sitio se deberá mostrar como seguro al acceder a él 😊
Y si lo que necesitas es contratar un certificado ssl en la web de Nominalia puedes encontrar diferentes opciones.