Capítulo 11. Obtener un Certificado para su servidor seguro

Este capitulo le guiara a través del proceso de seguridad de su servidor para obtener y instalar un certificado..

Para hacer a sus clientes sentirse seguros en su Web, su servidor Wed necesita ser seguro. Los servidores seguros usan el protocolo Secure Sockets Layer (SSL), que encripta los datos al mandarlos entre un browser y el servidor. Cuando su browser se comunica usando SSL, vera el prefijo https: antes Uniform Resource Locator(URL) en la barra de navegación.

Los clientes se sienten mejor cuando hacen las compras desde sitio Wed donde saben que sus transacciones son seguras, pero los servidores seguros solo son usados para el comercio electrónicos. Un servidor seguro puede ser usado tambié para transmitir datos sensibles.

Un servidor seguro usa un certificado para identificarse a los browser de la Web. Puede generar su propio certificado (llamado un certificado "self-signed") o puede coger un certificado desde un Certificate Authority o CA. Un certificado desde un CA honrado garantiza que un sito Web esta relacionado con una compañia particular o organización.

Si su servidor será usado para e-commerce, probablemente querás compara un certificado desde una CA. Un certificado CA proporciona dos ventajas: (normalmente) los browsers lo reconocen automáticamente y el CA garantiza la identidad de la organización reponsable para el sito Web. Los certificados Self-signed no son automáticamente aceptador por un browser de usuarios — el usuario será preguntado por el browser si quiere aceptar el certificado y crear una conexión segura.

Cuando use un certificado CA-signed, garantiza la identidad de la organización. Por ejemplo, si el certificado dice el sitio Wed es Red Hat y el usuario confia en la CA, entonces no hay razón para dudar que la descarga de los fichero o programas desde ese sito realmente son desde RHI;.

El primer paso es crear una pareja de claves publica y privada. Entonces necesitaras crear una petición de un certificado (CSR) para mandar a un CA o necesitaras crear su propio certificado self-signed. Este capitulo proporciona instrucciones de como firmar certificados desde VeriSign (http://www.verisign.com o http://www.verisign.com/offer/redhat/ Para los detalles en un descuento VeriSign a los clientes Red Hat) y Thawte (http://www.thawte.com), y como generar su propio certificado.

NotaNota
 

Puedes firmar certificados desde cualquiera CA que eligas, y no solamente las CA que son mencionads en este manual. Sin embargo, VeriSign ofrece un descuente en certificados a los clientes Red Hat. Vea http://www.verisign.com/offer/redhat para detalles en descuentos VeriSign.

Una vez tengas un certificado self-signed o un certificado firnado desde la CA elegida, aprenderás como instalarlo en su Red Hat Linux Apache/SSL Server.

Usando claves preexistentes y certificados

Si ya tienes una clave existente y el certificado, probablemente podrás usar la clave existente y el certificado con las Red Hat Linux Apache/SSL Server. En las siguientes dos situaciones, no podrá usar su clave existente y el certificado:

No puedes usar su vieja clave y certificado si esta cambiando su dirección o nombre del dominio. Los certificados son emitidos por una particular dirección IP o nombre del dominio. Necesitaras conseguir una nueva certificado si es cambiado su dirección IP o nombre del dominio.

VeriSign es un CA ampliamente usado. Si ya tiene un certificado VeriSign para otros propósitos, puedes haber estado considerando usar el certificado VeriSign existente con su nueva Red Hat Linux Apache/SSL Server. Sin embargo, no esta permitido, porque VeriSign emite certificados para un sotfware de servidor particular y combinación dirección IP/nombre del dominio.

Si cambias estos parámetros (por ejemplo, si previamente usaba otro producto del servidor Web seguro y ahora quiere uasr el Red Hat Linux Apache/SSL Server), el certificado VeriSign obtenido para usar con la configuración previa no trabajara con la configuración nueva. Necesitas obtener nuevos certificados.

Si tienes una clave existente y certificado que puede usar, no tendrá que seguir las instrucciones contenidas en Capítulo 11. Necesita mover y renombrar los ficheros que contenía la clave y certificado.

Mover el archivo de la clave existente a:

/etc/httpd/conf/ssl.key/server.key

Mover el archivo del certificado existente a:

/etc/httpd/conf/ssl.crt/server.crt

Después de que ha movido la clave y el certificado, saltar a la sección de nombre Comprobar su Certificado.

Si ha actualizado desde las versiones Secure Web Server versions 1.0 y 2.0 de RH;, su vieja clave (httpsd.key) y certificado (httpsd.crt) serán colocados en /etc/httpd/conf/. Necesitaras mover y renombrar su clave y certificado, para que las puedas usar en Red Hat Linux Apache/SSL Server. Usa los siguientes dos comandos para mover y renombrar los ficheros de la clave y certificado:

mv /etc/httpd/conf/httpsd.key /etc/httpd/conf/ssl.key/server.key
mv /etc/httpd/conf/httpsd.crt /etc/httpd/conf/ssl.crt/server.crt

Entonces inicia su Red Hat Linux Apache/SSL Server como se describe en la sección de nombre Iniciando y parando Apache. No debes necesitar conseguir una nuevo certificado, si estas actualizando desde una versió precia de la Red Hat Linux Apache/SSL Server.