Instalar y/o renovar certificado de ipsCA en Apache2 y courier
Introducción
Este artículo mostrará como podremos configurar un certificado firmado por ipsCA para que podamos tener acceso de una forma segura una WEB y al correo. Para ellos usaremos openssl para las claves, apache2 para el servidor WEB y courier para el correo.
Generación de claves
Lo primero que tenemos que hacer es generar las claves de nuestro servidor para luego generar el SCP y poder enviarlo a ipsCA y que puedan firmarlas, para ellos usaremos openssl:
#openssl genrsa -des3 -out server.key 1024
Ahora tendremos que crear el SCR para envía a ipsCA:
#openssl req -new -key server.key -out server.csr
Nos preguntará una serie de cosas que luego aparecerán en la clave cuando estemos en dicho sitio, así que ponerlas a conciencia, ya que será las que use ipsCA. No admite caracteres “raros”, por lo tanto pensar antes de introducir los datos. Las preguntas son:
• Country name: abreviación del nombre del país en ISO, ej. ES = España
• State or Province name: la provincia, ej. Madrid
• City or Locality: ciudad o localidad, ej. Madrid
• Organization name: el nombre legal de tu empresa, ej. igayoso.net S.L.
• Organization unit: por si es específico para un departamento o no. Este se puede dejar en blanco, ej. Marketing
• Server administration mail: el correo del administrador en caso de tener algún problema, ej. igayoso@tucorreo.com
Podremos verificar si el SCR que hemos creado ha sido de forma correcta, ya que si hemos introducido caracteres estraños puede que de algún problema:
#openssl req -noout -text -in server.csr
Ahora que ya lo tenemos, debemos enviarlo a ipsCA a través del formulario de su WEB o por mail.
Configuración en el servidor Apache2
Después de hacer el pago, ipsCA nos enviará un mail con la clave firmada, así como el certificado que deberemos instalar en nuestro servidor para que confíe en él, por lo tanto tendremos dos ficheros:
• IPS-IPSCABUNDLE.crt → certificado de ipsCA
• server.crt → el certificado que enviamos a ipsCA pero una vez firmado ya
Por lo tanto, ahora tendremos que especificarle a Apache2 donde están dichos ficheros, para ello
meteros en la configuración de Apache2 correspondiente al dominio/subdomino las siguientes líneas:
SSLEngine
SSLCertificateKeyFile /etc/apache2/ssl/server.key
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCACertificateFile /etc/apache2/ssl/IPS-IPSCABUNDLE.crt
En primer lugar habilitamos el SSL en Apache2, deberemos comprobar si está el módulo habilitado, aunque por defecto suele estar. Ahora deberemos especificarle tres ficheros; el primero de ellos corresponde a la clave privada que a través de ella nos han firmado la clave; en el segundo fichero tenemos el certificado que nos ha mandado ipsCA ya firmado por ellos; para finalizar tenemos el certificado de ipsCA para que puedan comprobar que nuestra clave es fiable.
Una vez metido esto en Apache2, deberemos reiniciar y una vez que vayamos a la dirección en concreto deberíamos ver como la página es fiable a través de ipsCA.
Configuración de Courier
La configuración en Courier es parecida a la de Apache2, lo único que en lugar de tener esos 3 ficheros por separado, tendremos los 3 ficheros en uno mismo, por lo tanto, después de ya haber generado la clave privada, el SCR y que nos hayan mandado los certificados, tendremos que juntarlo todo en un fichero:
#cat server.crt server.key IPS-IPSCABUNDLE.crt > server.pem
Ahora tendremos que decírselo a Courier, por lo tanto configuramos el fichero imapd-ssl, popd-ssl… (o el que corresponda) e introducimos la siguiente línea:
TLS_CERTFILE=/etc/courier/server.pem
Reiniciamos Courier y ya podemos conectarnos al servidor de correo por pop o imap usando conexiones seguras.
Renovar certificado
Si se nos ha caducado el certificado y queremos renovarlos con ipsCA, lo que tendremos que hacer es volver a generar el SCR para que lo puedan volver a firmar, ya que el que generamos la primera vez tiene una duración determinada, por lo tanto vamos a volver a generar el SCR:
#openssl req -new -key server.key -out server.csr
No necesitamos volver a generar la clave del servidor, ya que al no haber sido cambiado únicamente nos deberán firmar el nuevo certificado. Con este fichero que hemos creado tendremos que seguir los mismos pasos que hicimos la primera vez, aunque como ya lo tenemos configurado, lo único que tendremos que hacer en sobrescribir el fichero que nos mande ipsCA después de enviárselo y reiniciar los servicios.
Tags: apache, apache2, certificados, certificados-courier, courier, instalar-certificados, ipsCA, renovar-certificados
