Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: alzola22 en 28 Mayo 2019, 11:46 am



Título: Crear certificado SSL para servidor OTRS en Fedora 26
Publicado por: alzola22 en 28 Mayo 2019, 11:46 am
Hola buenas,

Como leeis en el titulo necesito crear un certificado para mi servidor web de OTRS. El problema es que no se muy bien como hacerlo.Estas son mis dudas:

1- El certificado lo tengo que crear en un servidor a parte del mio o lo puedo crear en el propio servidor? Que programa me recomendais? Open SSL?

2- Una vez creado el certificado, tendría que usar usar una entidad certificadora como por ejemplo lets encrypt, verdad?

3-Para que se aplique en el servidor web tengo que modificar el archivo de ocnfiguracion de apache como se puede ver en este ejemplo de codigo?
Código:
<VirtualHost 192.168.0.1:443>
DocumentRoot /var/www/html2
ServerName su.dominio.com
SSLEngine on
SSLCertificateFile /ruta/a/su_dominio.crt
SSLCertificateKeyFile /ruta/a/su_dominio.key
SSLCertificateChainFile /ruta/a/DigiCertCA.crt
</VirtualHost>

3-Por último, la ruta del certificado tiene que estar en /var/www/html o puede estar en otra ruta?


Gracias.


Título: Re: Crear certificado SSL para servidor OTRS en Fedora 26
Publicado por: @XSStringManolo en 30 Mayo 2019, 05:44 am
Si creas uno de firma propia puedes hacerlo desde la terminal con openssl genrsa -out server.key N
N es el numero de bits de la llave. Despues metes la llave en una peticion de firmado de un certificado:
openssl req -new -key server.key -out server.csr
Si te pide que le añadas datos a la peticion le pones contraseña, pais, provincia, ciudad, nombre de empresa, sector empresarial, url de la web y dirección de email.

La contraseña te la pedira cada vez que le hagas start a openssl, puedes dejarla en blanco para que no te de el coñazo. Solo acepta letras y numeros, no le metas espacios. Antes creo que se usaba para revocar certificados o algo así.
 En el pais le metes las iniciales del pais estandar. Mira por los layouts de teclado si no te la sabes. Para españa es ES.

En la url no le metas protocolo, y te distingue entre www.miweb.com y miweb.com

Por ultimo generas el certificado de SSL:
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Despues copias el certificado ssl y la llave en la ruta de apache /etc/ssl/certs y los renombras a:
ssl.crt y ssl.key

Habilitas el modulo de ssl en apache con:
a2enmod ssl

Despues editas el archivo del modulo ssl. En este ejemplo con nano:
nano /etc/apache2/sites-available/default-ssl

Y pegas dentro:

Código
  1. <IfModule mod_ssl.c>
  2. <VirtualHost _default_:443>
  3. ServerName www.miweb.com
  4. ServerAdmin webmaster@localhost
  5. DocumentRoot /var/www
  6. <Directory />
  7. Options FollowSymLinks
  8. AllowOverride None
  9. </Directory>
  10. <Directory /var/www/>
  11. Options -Indexes FollowSymLinks MultiViews
  12. AllowOverride None
  13. Order allow,deny
  14. allow from all
  15. </Directory>
  16. ErrorLog ${APACHE_LOG_DIR}/error.log
  17. LogLevel warn
  18. CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
  19. SSLEngine on
  20. SSLCertificateKeyFile /etc/ssl/certs/ssl.key
  21. SSLCertificateFile /etc/ssl/certs/ssl.crt
  22. #SSLCACertificateFile /etc/ssl/certs/bundle.crt
  23. BrowserMatch "MSIE [2-6]" \
  24. nokeepalive ssl-unclean-shutdown \
  25. downgrade-1.0 force-response-1.0
  26. # MSIE 7 and newer should be able to use keepalive
  27. BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
  28. </VirtualHost>
  29. </IfModule>


Guarda el archivo y escribe en la terminal:
a2ensite default-ssl

Y recarga el archivo con:
service apache2 reload

Listo. Puedes comprobar el certificado entrando en la url con el protocolo https://www.miweb.com
Te saltara el mensaje típico de que el certificado no es fiable debido a que es autofirmado y no está firmado por ningun certificador autorizado. Puedes comprar el certificado online si quieres y te lo mandan por correo tras recibir el pago. Se suelen expender varios tipos de certificados ssl distintos. Los basicos que te cubren un dominio. Los que te cubren un servidor. Los que te cubren la organizacion/empresa o las tarifas planas que te dan hosting, dominio, certificados, mantenimiento...
Los más básico no suelen pasar de 15-20€ y los más completos pasan de 100€. Eso ya depende de cada empresa certificadora.

Si lo vas a usar autofirmado añade una excepcion al navegador, recarga y ya te saldra el tipico candado. Le das click y te salen todos los datos del certificado.


PD: No conocia el OTRS. Para qué se suele utilizar? Qué version tienes? Para que caso concreto vas a utilizarlo? Me instalaré uno para ver que hace.