Gestión de certificados de origen
Los certificados de origen son certificados TLS gratuitos emitidos por IBM Cloud® Internet Services que cifran el tráfico entre su servidor de origen y sus usuarios. Solicite certificados TLS gratuitos para instalarlos en su servidor de origen.
Los certificados de origen de CIS sólo son válidos para utilizar en CIS.
Solicitud de un certificado de origen
Para solicitar un certificado de origen, haga una Solicitud de firma de certificado (CSR) o seleccione un tipo de clave privada para que CIS genere una clave y una CSR.
Especifique un máximo de 100 nombres de host (incluyendo comodines) en el origen que protege el certificado. Los comodines sólo proporcionan un nivel de cobertura. Utilice varios caracteres comodín en el mismo certificado para ampliar la cobertura
(por ejemplo, *.yourdomain.com
y *.yoursubdomain.yourdomain.com
). Los certificados de origen de CIS no permiten direcciones IP.
Especifique la caducidad. La caducidad predeterminada de un certificado es de 15 años; la caducidad mínima es siete días.
La clave privada solo está disponible inmediatamente después de solicitar un certificado si la clave privada y la CSR fueron generadas por CIS.
Instalación de un certificado de origen en el servidor
Apache HTTPD
-
Solicite un certificado de origen.
-
Copie la clave privada y el certificado de origen en formato PEM en archivos separados en el directorio de su servidor donde guarda sus archivos de clave y certificado.
-
Localice el archivo de configuración de Apache. Por lo general, los nombres de archivo son
httpd.conf
oapache2.conf
y las ubicaciones son/etc/httpd/
o/etc/apache2/
. Sin embargo, el archivo de configuración puede variar, especialmente si se utiliza una interfaz especial para gestionar el servidor. Consulte Apache 's DistrosDefaultLayout para obtener una lista completa de los diseños de instalación predeterminados. El mandato siguiente es una forma de buscar el archivo de configuración SSL en linux.grep -i -r "SSLCertificateFile" /etc/httpd/
-
Localice el bloque
<VirtualHost>
que configurar. Opcionalmente, copie el host virtual no seguro existente para que su sitio esté disponible a través de HTTP y HTTPS, ya que cada tipo de conexión requiere un host virtual. -
Configure el bloque
<VirtualHost>
para SSL. En el ejemplo siguiente se representa una configuración sencilla para SSL. Utilice los nombres de archivo para el certificado y la clave privada.SSLCertificateFile
es el nombre de archivo de certificado de CA de origen ySSLCertificateKeyFile
es el nombre de archivo de clave privada CA de origen.<VirtualHost 192.168.0.1:443> DocumentRoot /var/www/html2 ServerName www.mydomain.com SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key </VirtualHost>
-
Pruebe la configuración. Antes de reiniciar Apache, verifique que los archivos de configuración no tienen errores. Ejecute el mandato siguiente para probar la configuración.
apachectl configtest
-
Reinicie Apache. Ejecute los mandatos siguientes para reiniciar Apache con soporte de SSL.
apachectl stop apachectl start
Si el soporte de SSL no se carga con apache start
, ejecute el mandato apachectl startssl
. Si Apache comienza solo con soporte SSL utilizando apachectl startssl
, se recomienda ajustar la configuración
de inicio de Apache para incluir soporte SSL en el comando apachectl start
. De lo contrario, si se rearranca un servidor, es posible que tenga que reiniciar manualmente Apache con apachectl startssl
. Este reinicio
suele implicar la eliminación de las etiquetas " <IfDefine SSL>
" y " </IfDefine SSL>
" que encierran su configuración.
NGINX
-
Solicite un certificado de origen.
-
Copie la clave privada y el certificado de origen en formato PEM en archivos separados en el directorio del servidor donde guarda los archivos de claves y de certificado.
-
Actualice el archivo de hosts virtuales NGINX. Edite el archivo de host virtual NGINX para el sitio web. En el ejemplo siguiente se representa un bloque de servidor para el soporte SSL. Habilite el parámetro
ssl
en los sockets de escucha en el bloque del servidor para que su sitio esté disponible a través de HTTP y HTTPS.server { listen 80; listen 443; ssl on; ssl_certificate /path/to/your_certificate.pem; ssl_certificate_key /path/to/your_private.key; location / { root /home/www/public_html/yourdomain.com/public/; index index.html; } }
-
Reinicie NGINX. Ejecute uno de los mandatos siguientes para reiniciar NGINX.
sudo /etc/init.d/nginx restart sudo systemctl restart nginx
Apache Tomcat
-
Solicite un certificado de origen.
-
Copie la clave privada y el certificado de origen en formato PKCS #7 format (cert.p7b) en archivos separados en el directorio del servidor donde guarda los archivos de claves y de certificado.
Debe instalar el archivo del certificado SSL en el mismo almacén de claves y con el mismo alias (o «servidor») que utilizó para generar su CSR. La instalación en el paso siguiente no funciona si el archivo de certificado SSL está instalado en otro almacén de claves.
-
Instale el certificado. Ejecute el mandato siguiente para instalar el archivo de certificado SSL en el almacén de claves.
keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
Aparece un mensaje de confirmación: "La respuesta del certificado se ha instalado en el almacén de claves." Especifique y o yes si se le solicita que confíe en el certificado. El archivo de almacén de claves (your_site_name.jks) está ahora listo para ser utilizado en el servidor Tomcat.
-
Configure el conector SSL. Configure un conector SSL para que Tomcat pueda aceptar conexiones seguras.
- Abra el archivo server.xml de Tomcat en un editor de texto. El archivo server.xml se encuentra normalmente en la carpeta conf del directorio de inicio de Tomcat.
- Identifique el conector a utilizar para proteger el nuevo almacén de claves. Generalmente se utiliza un conector con el puerto 443 u 8443.
- Elimine cualquier etiqueta de comentario que pueda estar alrededor del conector.
- Actualice el nombre de archivo de almacén de claves y la contraseña correctos en la configuración del conector.
En el ejemplo siguiente se representa un bloque de conector SSL configurado.
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks" keystorePass="your_keystore_password" />
Si su versión de Tomcat es anterior a Tomcat 7, cambie
keystorePass
porkeypass
. -
Guarde el archivo server.xml.
-
Reinicie Tomcat.
Microsoft Internet Information Services (IIS) 7.0
-
Cree una CSR en el gestor de IIS y expórtela como
.pem
. El Gestor de IIS se encuentra en Herramientas administrativas. -
Solicite un certificado de origen de CIS utilizando su CSR.
-
Copie el certificado de origen en el escritorio del servidor.
-
Abra Administrador de IIS y seleccione el nombre de host del servidor en Conexiones.
-
Seleccione Certificados de servidor en la sección de IIS, en el menú central.
-
Seleccione la acción Completar solicitud de certificado en el menú Acciones. En la página Especificar respuesta de entidad emisora de certificados, en Nombre de archivo que contiene la respuesta de la entidad certificadora, pulse
...
para examinar el archivo de certificado.cer
que se ha copiado en el escritorio, seleccione el archivo y pulse Abrir. -
Especifique un nombre descriptivo para el certificado. El nombre descriptivo identifica el certificado.
-
Seleccione Aceptar para finalizar la instalación del certificado en el servidor.
-
Enlace el certificado a su sitio web. Seleccione su sitio web expandiendo Sitios debajo del nombre del servidor, en el menú, en Conexiones en el Gestor de IIS. Seleccione Enlaces en Editar sitio, en el menú Acciones. Seleccione Añadir en la ventana Enlaces de sitio y envíe la información siguiente.
Type https IP Address All Unassigned Port 443 SSL Certificate your_cert_friendly_name
-
Su sitio web está ahora configurado para aceptar conexiones seguras.
Microsoft Internet Information Services (IIS) 8.0 y 8.5
-
Cree una CSR en el gestor de IIS y expórtela como
.pem
. El Gestor de IIS se encuentra en Herramientas administrativas. -
Solicite un certificado de origen de CIS utilizando su CSR.
-
Copie el certificado de origen en el escritorio del servidor.
-
Abra Administrador de IIS y seleccione el nombre de host del servidor en Conexiones.
-
Seleccione Certificados de servidor en la sección de IIS, en el menú central.
-
Seleccione la acción Completar solicitud de certificado en el menú Acciones. En la página Especificar respuesta de entidad emisora de certificados, en Nombre de archivo que contiene la respuesta de la entidad certificadora, pulse
...
para examinar el archivo de certificado.cer
que se ha copiado en el escritorio, seleccione el archivo y pulse Abrir. -
Especifique un nombre descriptivo para el certificado. El nombre descriptivo identifica el certificado.
-
Seleccione Aceptar para finalizar la instalación del certificado en el servidor.
-
Enlace el certificado a su sitio web. Seleccione su sitio web expandiendo Sitios debajo del nombre del servidor, en el menú, en Conexiones en el Gestor de IIS. Seleccione Enlaces en Editar sitio, en el menú Acciones. Seleccione Añadir en la ventana Enlaces de sitio y envíe la información siguiente.
Type https IP Address All Unassigned Port 443 SSL Certificate your_cert_friendly_name
-
Opcionalmente, configure su certificado SSL para utilizar la indicación de nombre de servidor (SNI) si tiene varios sitios que utilizan SSL vinculados a la misma dirección IP. Seleccionar el recuadro Requerir indicación de nombre de servidor.
-
Su sitio web está ahora configurado para aceptar conexiones seguras.
Cadenas de certificados
En algunos casos, los servidores web de origen requieren la carga de la cadena de certificados. Utilice estos enlaces para descargar una versión ECC o RSA y, a continuación, cargue la cadena de certificados en el servidor web de origen.
Revocar un certificado de origen
Suprima su certificado de origen de CIS. Este proceso no se puede deshacer.