Manual Ssl V2 En Linux Debian

SSL Secure Socket Layer (SSL) El protocolo SSL es un sistema diseñado y propuesto por Netscape Communications Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico, típicamente el RC4 o IDEA, y cifrando la clave de sesión de RC4 o IDEA mediante un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea reventada por un atacante en una transacción dada, no sirva para descifrar futuras transacciones. MD5 se usa como algoritmo de hash. Proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP. Cuando el cliente pide al servidor seguro una comunicación segura, el servidor abre un puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado encima de TCP. Será el software de alto nivel, Protocolo SSL Handshake, quien utilice el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el cliente.

INSTALACION Y CONFIGURACION SSLv2 Primero lo que debemos es instalar el paquete de “openssl”.

Luego vamos a entrar a la carpeta que genera dicha instalación que es “/etc/ssl/”.

En esta carpeta debemos crear un directorio llamado “CA” es donde se van a crear todos los archivo requeridos para el SSL.

Ahora dentro de la carpeta “/etc/ssl/CA/” creamos otras dos llamadas “certificados” y “privado”. En la carpeta “certificados” es donde se guardará una copia de cada certificado que firmemos y en el directorio “privado” se guardará la llave privada.

Después debemos crear dos archivos de conformarán la base de datos de los certificados autofirmados, el primero es el archivo “serial” simplemente contiene el siguiente número de serie de nuestros certificados, ya que apenas vamos a crear el primero su número de serie será 01, después de crearlo se actualizará a 02 y así sucesivamente.

Luego por organización de nuestro servidor copiaremos el archivo “openssl.cnf” a la carpeta “CA” y haremos un backup del archivo original por seguridad.

La configuración que debe haber dentro de este archivo es la siguiente: # # # # # # #

******************************************************************** www.marcar.com [email protected] Archivo de configuracion para openssl ***** openssl.cnf ******

dir

= .

# variable que establece el directorio de trabajo

# seccion que permite convertirnos en una CA # solo se hace referencia a otra seccion CA_default [ ca ] default_ca = CA_default [ CA_default ] serial = database = new_certs_dir = certificate = private_key = default_md = preserve = nameopt certopt policy

$dir/serial # archivo que guarda el siguiente numero de serie $dir/index.txt # archvio que guarda la bd de certificados $dir/certificados # dir que guarda los certificados generados $dir/cacert.pem # nombre del archivo del certificado raiz $dir/privado/cakey.pem # llave privada del certificado raíz md5 # algoritmo de dispersión usado no # Indica si se preserva o no el orden de los # campos del DN cuando se pasa a los certs. = default_ca # esta opción y la siguiente permiten mostrar # detalles del certificado = default_ca = policy_match # indica el nombre de la seccion # donde se especifica que campos son # obligatorios, opcionales y cuales deben ser # iguales al certificado raiz

# seccion de politicas para la emisión de certificados [ policy_match ] countryName = optional # match, obligatorio stateOrProvinceName = optional organizationName = optional organizationalUnitName = optional # optional, campo opcional commonName = supplied # supplied, debe estar en la peticion emailAddress = optional # seccion que indica [ req ] default_bits = default_keyfile = default_md = string_mask = distinguished_name = (DN) req_extensions =

como los certificados deben ser creados 1024 # tamaño de la llave, si no se indica 512 key.pem # nombre de la llave privada md5 # algoritmo de dispersión a utilizar nombstr # caracteres permitidos en la mascara de la llave req_distinguished_name # seccion para el nombre distinguido v3_req

# seccion con mas extensiones que se añaden a la # petición del certificado

# seccion del nombre distinguido, el valor es el prompt que se vera en pantalla. # datos del propietario del certificado. # esta seccion define el contenido de datos de id que el certificado llevara. [ req_distinguished_name ] 0.organizationName 0.organizationName_default organizationalUnitName

= Nombre de la organizacion = marcar, S.A. = Departamento o division

emailAddress emailAddress_max localityName localityName_default stateOrProvinceName stateOrProvinceName_default countryName countryName_default countryName_min countryName_max commonName commonName_max

= = = = = = = = = = = =

Correo electronico 40 Ciudad o distrito Medellín Estado o provincia Antioquia Codigo del pais (dos letras) CO 2 2 Nombre comun (hostname o IP) 64

# Si en la línea de comandos se indica la opción -x509, # Las siguientes extensiones también aplican [ v3_ca ] # indica que se trata de un certificado CA raíz con autoridad para # firmar o revocar otros certificados basicConstraints = CA:TRUE # especifica bajo que método identificar a la llave publica que será certificada subjectKeyIdentifier = hash # Especifica como identificar la llave publica authorityKeyIdentifier = keyid:always,issuer:always # extensiones de la opcion req [ v3_req ] basicConstraints = CA:FALSE subjectKeyIdentifier = hash

# los certificados firmados no son CA

# *******************************************************************************

Lo siguiente es generar la llave privada y el certificado raíz de la CA (Autoridad Cerificadora)

Veamos los que indica cada comando req -new -x509

---> crear un certificado nuevo autofirmado

-extensions v3_ca ---> crear un certificado raíz CA -keyout

---> nombre y donde guardará la llave privada

-out

---> nombre del certificado raíz CA

-days 3650

---> el certificado será válido por 3650 días (10 años)

-config

---> archivo de configuración a utilizar

A continuación nos preguntara algunos datos como la clave de la CA llave privada.

Después algunos datos que necesita otorgarle al certificado, nombre de la organización, departamento de trabajo, correo electronico del encargado, ciudad, estado, y codigo del pais, ademas nombre comun (dominio, IP, hostname).

Listo ya generamos la llave privada y el certificado raíz de la CA. Y podemos visualizar los archivos creados: El Certificado de la CA

Y la llave privada tiene el siguiente contenido:

Para verificar que el certificado si fue creado y cual es su validez.

Lo siguiente que debemos hacer es crear una llave privada y una solicitud de certificado

A continuación por ultimo nos preguntara otra vez el Nombre Comun (CN: Common Name), aqui es sumamente importante indicarlo igual a como esta el certificado raíz generado anteriormente.

marcar-cert.pem solicitud) key.pem req

---> el certificate signing request (csr) (nombre de la ---> la llave privada

---> para solicitar un certificado nuevo

-out

---> el nombre del certificado que vamos a firmar

-config

---> toma el archivo de configuración que creamos.

-nodes en la llave privada.

---> especifica para indicar que no deseamos contraseña

También podemos visualizar lo que contiene la solicitud creada:

PROCEDEREMOS FIRMAR EL CERTIFICADO

ca

---> especificaremos que somos una Autoridad Certificadora

-out -config -days de 10 años -infiles ceºrt.pem

---> el nombre del certificado firmado certificado-marcar.pem ---> es el archivo de configuración ---> serán los días de validez del certificado en nuestro caso será ---> es el nombre del archivo de la solicitud marcar-

Luego nos pedirá la contraseña de nuestro certificado raíz que es la que creamos para el cacert.pem en el comienzo del manual.

Nos mostrara los datos que especificamos en la solicitud, luego nos preguntará que si queremos firmar el certificado y también que si queremos guardar el certificado en la base de datos, por supuesto diremos a todo que sí (y).

Y nos responderá lo siguiente confirmado la firma

Ahora confirmaremos en el archivo “serial” que el numero de serie si aumento

En el archivo index.txt el número de serie para el certificado recién creado y muestra también los campos del DN.

EL SIGUIENTE PASO ES LA HABILITACION DEL SSL EN ELAPACHE Lo que debemos hacer primero es agregar algunas líneas al archivo /etc/apache2/sites-available/default

Además en el archivo /etc/apache2/ports.conf debemos agregar la siguiente línea para que acepte conexiones por el puerto 443 que es el de SSL. Listen 443 Luego debemos cargar el modulo ssl para apache asi:

Y recargamos el apache2

Al recargar el apache2 nos pedirá la clave de la CA y listo.

A continuación nos ha salido un error

Esto se debe a que por un mal manejo de las llaves, ya que se ha dañado por que se reescribe el archivo “key.pem”, ahora debemos generar unas nuevas incluyendo una nueva solicitud.

Es necesario general una llave para cada solicitud, ya que estas son necesarias para la firma de las diferentes solicitudes, por ende la opción “–nodes” se excluye al formar una solicitud por segunda vez.

Y luego lo firmaremos de nuevo

Nos dará otra vez las mismas opciones y nos preguntara lo mismo que al principio. Y listo, otra vez recargaremos el apache2 y ya no deberá salir error alguno.

Lo siguiente es ir a nuestro browser e ingresar a nuestro sitio web seguro.

Como lo podemos ver si colocamos la url http://www.marcar.com nos hara la sugerencia para poder entrar de que coloquemos la url https://www.marcar.com ya que es un sitio seguro. Luego nos pedirá que aceptemos el certificado ya que el browser no identifica nuestra Autoridad Certificadora.

Y ahora si podremos tener acceso seguro via ssl a nuestra pagina web.

Recordemos que el candado en la parte inferior del browser indique que es un sitio seguro.