Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Creación de Certificado Amazon AWS EC2 Server

    Cargado por

    Alberto Ruiz
    46 vistas11 páginas
    El documento describe los pasos para configurar un certificado SSL para un sitio web hospedado en Apache. Estos incluyen crear un registro DNS tipo A, instalar SSL en Apache, generar una clave privada y solicitud de firma de certificado (CSR), obtener un certificado firmado de una autoridad de certificación, mover el certificado al directorio correcto en el servidor y validar la configuración.

    Descripción original:

    Como crear certificados SSL desde el SHELL del EC2 Server de AWS

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento describe los pasos para configurar un certificado SSL para un sitio web hospedado en Apache. Estos incluyen crear un registro DNS tipo A, instalar SSL en Apache, generar una clave privada y solicitud de firma de certificado (CSR), obtener un certificado firmado de una autoridad de certificación, mover el certificado al directorio correcto en el servidor y validar la configuración.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    46 vistas11 páginas

    Creación de Certificado Amazon AWS EC2 Server

    Cargado por

    Alberto Ruiz
    El documento describe los pasos para configurar un certificado SSL para un sitio web hospedado en Apache. Estos incluyen crear un registro DNS tipo A, instalar SSL en Apache, generar una clave privada y solicitud de firma de certificado (CSR), obtener un certificado firmado de una autoridad de certificación, mover el certificado al directorio correcto en el servidor y validar la configuración.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 11

    Redirección de Dominio

    // Crear registro tipo A en DNS que resuelve el dominio.

    Ej.

    secure.fits.com.mx A 13.59.212.23

    // Probar resolución de dominio (hay que esperar a que se reflejen)

    Browser https://secure.fits.com.mx

    Instalar SSL a Apache


    // para Apache 2.2
    yum install openssl mod_ssl

    // para Apache 2.4 (esta es la opción que me funcionó por la versión de


    apache)

    yum install openssl mod24_ssl

    // restart Apache
    service httpd restart

    // probar que el Servicio https está funcionando

    Abrir browser https://secure.fits.com.mx

    Creación del Certificado

    // Creación de Clave RSA de 2048 desde el Servidor WEB


    sudo openssl genrsa -out secure_fits_com_mx.key 2048

    [ec2-user@ip-172-31-31-71 ~]$ sudo su


    [root@ip-172-31-31-71 ec2-user]# sudo openssl genrsa -out
    secure_fits_com_mx.key 2048
    Generating RSA private key, 2048 bit long modulus
    .......+++
    .............................................+++
    e is 65537 (0x10001)
    [root@ip-172-31-31-71 ec2-user]#

    // Creación de Clave prime256v1 desde el Servidor WEB (un poco mejor y rápida
    que RSA hay que elegir cual usar, yo probé con RSA, habría que ver si comodo
    soporta prime256v1, no todas las CA según el manual de AWS lo soportan.

    sudo openssl ecparam -name prime256v1 -out secure_fits_com_mx.key –genkey

    // Asignación de permisos correctos para los archivos

    chown root.root secure_fits_com_mx.key


    chmod 600 secure_fits_com_mx.key
    ls -al secure_fits_com_mx.key

    -rw------- root root secure_fits_com_mx.key


    // Creación de CSR file

    sudo openssl req -new -key secure_fits_com_mx.key -out csr.pem

    [root@ip-172-31-31-71 ec2-user]# sudo openssl req -new -key


    secure_fits_com_mx.key -out csr.pem
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [XX]:MX
    State or Province Name (full name) []:NUEVO LEON
    Locality Name (eg, city) [Default City]:GUADALUPE
    Organization Name (eg, company) [Default Company Ltd]:FITS S.A de C.V.
    Organizational Unit Name (eg, section) []:FITS
    Common Name (eg, your name or your server's hostname) []:secure.fits.com.mx
    Email Address []:admin@fits.com.mx

    Please enter the following 'extra' attributes


    to be sent with your certificate request
    A challenge password []:Y0mer0
    An optional company name []:FITS
    [root@ip-172-31-31-71 ec2-user]#

    // Esto crea el archivo CSR verificarlo

    [root@ip-172-31-31-71 ec2-user]# ls –la


    -rw-r--r-- 1 root root 1139 Jun 18 19:03 csr.pem

    // Contenido del CSR

    [root@ip-172-31-31-71 ec2-user]# more csr.pem


    -----BEGIN CERTIFICATE REQUEST-----
    MIIDETCCAfkCAQAwgZ8xCzAJBgNVBAYTAk1YMRMwEQYDVQQIDApOVUVWTyBMRU9O
    MRIwEAYDVQQHDAlHVUFEQUxVUEUxGTAXBgNVBAoMEEZJVFMgUy5BIGRlIEMuVi4x
    DTALBgNVBAsMBEZJVFMxGzAZBgNVBAMMEnNlY3VyZS5maXRzLmNvbS5teDEgMB4G
    CSqGSIb3DQEJARYRYWRtaW5AZml0cy5jb20ubXgwggEiMA0GCSqGSIb3DQEBAQUA
    A4IBDwAwggEKAoIBAQCo1JZ8TxmoUQG6xHoGbdJAMwWRhFQ7ofAOwcza6XgotKiU
    78ZYta9A4Gpge/FelwoGfEnkhU/5VIJD7elGs2hhlAHSHFeXcYoV6yGo6Zhk3aIE
    kso4kc7TEyi3hh0BNfAH1LZwY2jupS0R7BK0VZldWN4pBktKBEXLIU/Q6cHA20LG
    qKEYZVcaJDV6ovHGo/jefl7tqiIAzw3921k4TRHldq+mVvzLl9CfUN6e9peH8kJs
    DBl+Jmgpia/ZXmwjk0fTE0wl+H6V5npaCQ16yiujZzmiuty6EaMIrVPPyqmHPIiJ
    gj+bihko7PevGy4x/Xyw5TSjSt4IT93ZM7/jcGMTAgMBAAGgLDATBgkqhkiG9w0B
    CQIxBgwERklUUzAVBgkqhkiG9w0BCQcxCAwGWTBtZXIwMA0GCSqGSIb3DQEBCwUA
    A4IBAQBvcwnUL6DqDzdXu5fEg71M3b5x7wHICZF/OWPhN5ozU8gNPsELq2ANiGn1
    8ptxrVvuIhSCYUpw1wAef0m2ka91MC4NYHWVIJb02j+DNS8La7sB02GBvZAAcYZB
    4YkptGXjlAqi9TK9YXnQgaKlAipv9DBOhgjBP97wDzTZRN4XUtmyBAz65ALu8tlc
    CaUl9FUhCk8Pz2+YvJzJa9hYdS69raJ23oVEdNATWxpLAB0k3j4nF2X3goouZagR
    jpIoR64JxEH/mFHAgHd4iZiDxhVDkrkCIqPq9SJRJ0XBXQBRpjJARRfg6E9/b6mv
    tsDRyXuROx+DOc0eBMwin56B6lml
    -----END CERTIFICATE REQUEST-----
    [root@ip-172-31-31-71 ec2-user]#
    // Creación del Certificado con la entidad certificadora

    Entrar a la CA y proveer el CSR

    // Solo seleccionar en la opción 2 el servidor que se está utilizando en


    nuestro caso Apache-ModSSL
    Te solicitan datos adicionales de la empresa y sigue el proceso el certificado
    te llega por correo, te piden que el correo sea del dominio para validar que
    tienes control sobre de él, ejemplo la cuenta: admin@fits.com.mx

    // Te envían por correo el certificado en texto plano


    // Te los envían también un attachment con el certificado

    Subir al servidor los archivos por sftp y probar el cert

    // Contenido del zip

    El zip contiene el archivo .crt (certificado) más un segundo archivo sin


    extensión, el bueno es el punto cert,

    // Omito la parte de como subirlos por sftp eso no creo que tengas problemas,
    solo súbelos a tu home del user ec2-user, para que de ahí los puedas mover
    usando sudo o ya como root, ya que la carpeta a donde los copiarás requiere
    privilegios elevados.

    // Mover el .crt a la carpeta /etc/pki/tls/certs


    [root@ip-172-31-31-71 ec2-user]# cp secure_fits_com_mx.crt /etc/pki/tls/certs
    [root@ip-172-31-31-71 ec2-user]# cd /etc/pki/tls/certs

    // Asegurar los permisos


    [root@ip-172-31-26-44 pki]# chown root.root secure_fits_com_mx.crt
    [root@ip-172-31-26-44 pki]# sudo chmod 600 secure_fits_com_mx.crt
    [root@ip-172-31-26-44 pki]# ls -al secure_fits_com_mx.crt
    [root@ip-172-31-26-44 pki]# ls -la
    -rw-r--r-- 1 root root secure_fits_com_mx.crt
    // Validación del certificado

    [root@ip-172-31-26-44 pki]# openssl x509 -in secure_fits_com_mx.crt -text


    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number:
    94:e9:f4:89:67:70:30:c2:39:d3:52:62:3d:94:b3:02
    Signature Algorithm: ecdsa-with-SHA256
    Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited,
    CN=COMODO ECC Domain Validation Secure Server CA
    Validity
    Not Before: Jun 19 00:00:00 2018 GMT
    Not After : Sep 17 23:59:59 2018 GMT
    Subject: OU=Domain Control Validated, OU=Free SSL,
    CN=secure.fits.com.mx
    Subject Public Key Info:
    Public Key Algorithm: id-ecPublicKey
    Public-Key: (256 bit)
    pub:
    04:81:80:ba:31:9d:3a:54:69:6a:02:8e:16:48:b1:
    cb:93:4c:ad:8e:7e:7c:0b:35:3b:5e:79:56:f5:97:
    7e:e2:ef:f7:b6:5d:09:c9:8b:37:17:ae:e9:bb:f6:
    7f:15:4b:f4:e2:b7:6e:2f:ee:e9:1d:28:21:21:fc:
    2d:fc:94:cd:14
    ASN1 OID: prime256v1
    NIST CURVE: P-256
    X509v3 extensions:
    X509v3 Authority Key Identifier:
    keyid:BB:FA:08:E0:BF:54:EE:5A:FD:16:A4:35:02:09:A9:A4:C8:EC:FD:4B
    X509v3 Subject Key Identifier:
    A8:6B:FA:CE:AF:55:CF:3B:02:55:A9:41:6F:7A:0A:8F:F6:4E:B8:A9
    X509v3 Key Usage: critical
    Digital Signature
    X509v3 Basic Constraints: critical
    CA:FALSE
    X509v3 Extended Key Usage:
    TLS Web Server Authentication, TLS Web Client Authentication
    X509v3 Certificate Policies:
    Policy: 1.3.6.1.4.1.6449.1.2.2.7
    CPS: https://secure.comodo.com/CPS
    Policy: 2.23.140.1.2.1
    X509v3 CRL Distribution Points:
    Full Name:
    URI:http://crl.comodoca.com/COMODOECCDomainValidationSecureServerCA.crl
    Authority Information Access:
    CA Issuers -
    URI:http://crt.comodoca.com/COMODOECCDomainValidationSecureServerCA.crt
    OCSP - URI:http://ocsp.comodoca.com
    X509v3 Subject Alternative Name:
    DNS:secure.fits.com.mx, DNS:www.secure.fits.com.mx
    CT Precertificate SCTs:
    Signed Certificate Timestamp:
    Version : v1(0)
    Log ID :
    EE:4B:BD:B7:75:CE:60:BA:E1:42:69:1F:AB:E1:9E:66:
    A3:0F:7E:5F:B0:72:D8:83:00:C4:7B:89:7A:A8:FD:CB
    Timestamp : Jun 19 00:27:22.342 2018 GMT
    Extensions: none
    Signature : ecdsa-with-SHA256
    30:44:02:20:1F:5C:7D:6D:E1:26:82:87:D0:E9:98:DA:
    4D:60:77:A1:5A:DE:F8:C4:DA:5B:28:86:8D:3A:9F:C8:
    60:FC:6D:5E:02:20:52:0D:B6:05:70:35:87:0E:C6:ED:
    74:04:10:5D:14:B0:C2:2B:20:B0:25:B2:F1:E2:1C:BE:
    AE:60:E2:FA:DE:C0
    Signed Certificate Timestamp:
    Version : v1(0)
    Log ID :
    DB:74:AF:EE:CB:29:EC:B1:FE:CA:3E:71:6D:2C:E5:B9:
    AA:BB:36:F7:84:71:83:C7:5D:9D:4F:37:B6:1F:BF:64
    Timestamp : Jun 19 00:27:22.432 2018 GMT
    Extensions: none
    Signature : ecdsa-with-SHA256
    30:44:02:20:42:A4:D1:89:21:A2:AB:20:07:34:FA:48:
    D7:C5:71:9B:81:F9:22:33:A0:97:E7:A8:F0:B9:09:2E:
    0A:BB:E6:5B:02:20:62:77:D0:EF:15:46:32:17:2D:CC:
    07:D9:34:BE:75:32:6D:26:F1:85:28:02:90:29:58:AC:
    66:2B:36:9E:C8:0B
    Signature Algorithm: ecdsa-with-SHA256
    30:46:02:21:00:94:9b:90:3f:93:7f:f3:79:76:43:af:ab:3c:
    13:d7:76:bb:11:f9:68:c3:6f:e4:7a:2b:1d:62:59:42:d6:d9:
    14:02:21:00:a6:66:f0:19:1f:d7:5b:ea:ce:e8:c4:6f:c6:7f:
    91:b9:26:b9:79:7e:3c:e1:50:49:c4:e8:ac:00:ed:35:1d:30
    -----BEGIN CERTIFICATE-----
    MIIE0zCCBHigAwIBAgIRAJTp9IlncDDCOdNSYj2UswIwCgYIKoZIzj0EAwIwgZAx
    CzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNV
    BAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTYwNAYDVQQD
    Ey1DT01PRE8gRUNDIERvbWFpbiBWYWxpZGF0aW9uIFNlY3VyZSBTZXJ2ZXIgQ0Ew
    HhcNMTgwNjE5MDAwMDAwWhcNMTgwOTE3MjM1OTU5WjBTMSEwHwYDVQQLExhEb21h
    aW4gQ29udHJvbCBWYWxpZGF0ZWQxETAPBgNVBAsTCEZyZWUgU1NMMRswGQYDVQQD
    ExJzZWN1cmUuZml0cy5jb20ubXgwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAASB
    gLoxnTpUaWoCjhZIscuTTK2OfnwLNTteeVb1l37i7/e2XQnJizcXrum79n8VS/Ti
    t24v7ukdKCEh/C38lM0Uo4IC7TCCAukwHwYDVR0jBBgwFoAUu/oI4L9U7lr9FqQ1
    AgmppMjs/UswHQYDVR0OBBYEFKhr+s6vVc87AlWpQW96Co/2TripMA4GA1UdDwEB
    /wQEAwIFgDAMBgNVHRMBAf8EAjAAMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEF
    BQcDAjBPBgNVHSAESDBGMDoGCysGAQQBsjEBAgIHMCswKQYIKwYBBQUHAgEWHWh0
    dHBzOi8vc2VjdXJlLmNvbW9kby5jb20vQ1BTMAgGBmeBDAECATBUBgNVHR8ETTBL
    MEmgR6BFhkNodHRwOi8vY3JsLmNvbW9kb2NhLmNvbS9DT01PRE9FQ0NEb21haW5W
    YWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3JsMIGFBggrBgEFBQcBAQR5MHcwTwYI
    KwYBBQUHMAKGQ2h0dHA6Ly9jcnQuY29tb2RvY2EuY29tL0NPTU9ET0VDQ0RvbWFp
    blZhbGlkYXRpb25TZWN1cmVTZXJ2ZXJDQS5jcnQwJAYIKwYBBQUHMAGGGGh0dHA6
    Ly9vY3NwLmNvbW9kb2NhLmNvbTA1BgNVHREELjAsghJzZWN1cmUuZml0cy5jb20u
    bXiCFnd3dy5zZWN1cmUuZml0cy5jb20ubXgwggECBgorBgEEAdZ5AgQCBIHzBIHw
    AO4AdQDuS723dc5guuFCaR+r4Z5mow9+X7By2IMAxHuJeqj9ywAAAWQVcFtmAAAE
    AwBGMEQCIB9cfW3hJoKH0OmY2k1gd6Fa3vjE2lsoho06n8hg/G1eAiBSDbYFcDWH
    DsbtdAQQXRSwwisgsCWy8eIcvq5g4vrewAB1ANt0r+7LKeyx/so+cW0s5bmquzb3
    hHGDx12dTze2H79kAAABZBVwW8AAAAQDAEYwRAIgQqTRiSGiqyAHNPpI18Vxm4H5
    IjOgl+eo8LkJLgq75lsCIGJ30O8VRjIXLcwH2TS+dTJtJvGFKAKQKVisZis2nsgL
    MAoGCCqGSM49BAMCA0kAMEYCIQCUm5A/k3/zeXZDr6s8E9d2uxH5aMNv5HorHWJZ
    QtbZFAIhAKZm8Bkf11vqzujEb8Z/kbkmuXl+POFQScTorADtNR0w
    -----END CERTIFICATE-----
    // Mover el .key a la carpeta /etc/pki/tls/private

    [root@ip-172-31~ec2-user]# cp secure_fits_com_mx.key /etc/pki/tls/private/


    [root@ip-172-31~ec2-user]# cd /etc/pki/tls/private/
    [root@ip-172-31~ec2-user]# ls –la

    -rw-r--r-- 1 root root secure_fits_com_mx.key

    // Asegurar los permisos

    [root@ip-172-31~ec2-user]# chown root.root secure_fits_com_mx.key


    [root@ip-172-31~ec2-user]# chmod 600 secure_fits_com_mx.key
    [root@ip-172-31~ec2-user]# ls -al secure_fits_com_mx.key

    -rw------- root root secure_fits_com_mx.k

    // Modificación en /etc/httpd/conf.d/ssl.conf

    // Hay que modificar las siguientes directivas al nombre de los archivos

    SSLCertificateFile /etc/pki/tls/certs/secure_fits_com_mx.crt

    SSLCertificateKeyFile /etc/pki/tls/private/secure_fits_com_mx.key

    // Por ultimo hay que reiniciar el Servicio de Apache

    [root@ip-172-31-26-44 ec2-user]# service httpd restart


    Stopping httpd: [ OK ]
    Starting httpd: [ OK ]
    [root@ip-172-31-26-44 ec2-user]#

    // Probar la resolución
    // Probar con QUALYS

    //Se alcanza el nivel de certificado según el tutorial de aws

    También podría gustarte