Ir al contenido principal

Importar certificado SSL de IIS e implementarlo en un WebServer Linux




Este artículo pretende explicar como implementar en un servidor Linux de la familia Redhat (Redhat, CentOS, Fedora, etc) un certificado wildcard SSL originalmente expedido e instalado en un WebServer IIS.

Pre-requisitos.
Debemos exportar el conjunto de certificados (en formato .pfx) que ya están instalados en el IIS y copiarlos a nuestra maquina Linux:



Instalación y Configuración.

1. Instalamos el modulo de criptografía de Apache:
[root@ldapclt ~]# yum -y install mod_ssl

2. Extraer el certificado y el key:
[root@linuxhost ~]# openssl pkcs12 -in example.com.pfx -clcerts -nokeys -out <host>.example.com.cer

[root@linuxhost ~]# openssl pkcs12 -in example.com.pfx -nocerts -nodes -out <host>.example.com.key


3. Copiamos los archivos resultantres en sus respectivas ubicaciones:
[root@linuxhost ~]# rsync -av <host>.example.com.cer /etc/pki/tls/certs/

[root@linuxhost ~]# rsync -av <host>.example.com.key /etc/pki/tls/private/


4. Editamos el archivo /etc/httpd/conf.d/ssl.conf de tal suerte que declaremos que es un
 wildcard:







5. También en este archivo nos aseguramos que estén las rutas al certificado y el key:










6. En adelante el <virtualhost> no lo vamos a seguir configurando en el archivo httpd.conf
 si no en el archivo ssl.conf.Si nuestro hosting está en la ubicación estándar (/var/www/html)

7. Restauramos la configuración default de SELinux
[root@linuxhost ~]#restorecon -R /var/www/html/*

8. Habilitamos SELinux
[root@linuxhost ~]#setenforce 1

9. Creamos una excepción para IPTABLES 
[root@linuxhost ~]#iptables -A INPUT -p tcp -M state --state NEW -m tcp --dport 443 -J ACCEPT

10. Reiniciamos Apache 
[root@linuxhost ~]#/etc/init.d/httpd restart


Pruebas.

En este punto ya podemos ver el certificado funcionando en nuestro sitio cuando lo 
invocamos por "https"


























Bonus Track.

Podemos configurar el apache para que redireccione todos los requerimientos que lleguen 
al sitio por "http" al "https" dentro de la etiqueta <Directory> añadimos las siguientes lineas (esto si en el httpd.conf):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}










Finalmente reiniciamos Apache.
[root@linuxhost ~]#/etc/init.d/httpd restart

Comentarios

  1. Anónimo15 de marzo de 2022, 3:45

    Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  2. ximenkaelin7 de noviembre de 2022, 8:40

    Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Como Instalar un server OpenLDAP en Redhat 7

Consideraciones: Este artículo instalaremos un servidor de autenticación OpenLDAP en Redhat 7 Escenario : El escenario utilizado es el siguiente: - Server OpenLDAP (ldapsrv1.danielcastillo.tech, 192.168.20.41) - Cliente OpenLDAP ( ldapclt.danielcastillo.tech,192.168.20.43 ) Server Pre-requisitos: 1. Crear las respectivas entradas de los host en el archivo  /etc/hosts [ root@ldapsrv1 ~ ] # cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 192.168.20.41 ldapsrv1.danielcastillo.tech ldapsrv1 192.168.20.43 ldapclt.danielcastillo.tech ldapclt ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 2. Actualizar el sistema: [ root@ldapsrv1 ~ ] # yum -y update Procedimiento: 1. Instalar los paquetes necesarios: [ root@ldapsrv1 ~ ] # yum -y install openldap* migrationtools 2. Iniciar y habilitar el servicio: [ root@ldapsrv1 ~ ] # systemctl start slapd.service [ root@ldapsrv1 ~ ] # systemctl enable slapd.service 3. Crear
2 comentarios
Leer más

Autenticación Centralizada RHEL/OracleLinux/CentOS 7

En esta oportunidad vamos a configurar una maquina con sistema operativo Linux (RHEL 7) para que pueda autenticar sesiones SSH obteniendo usuarios y credenciales del directorio activo (WINDOWS 2016) El escenario utilizado es el siguiente: - Server Linux (linuxhost.danielcastillo.tech, 192.168.1.2) - AD Server Windows (adwin. danielcastillo.tech,192.168.1.100 ) Pre-requisitos. 1. Un usuario en el AD con permisos para agregar estaciones de trabajo lo llamaremos "unixproxy", Más informacion sobre como hacerlo en el siguiente link: https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/ 1.1. Una unidad organizacional en el directorio activo de windows lo llamaremos "ad_win_security_group" a ella perteneceran los usuarios que queremos permitir ingresar. 1.2. Un usuario que pertenezca a la OU anterior a este lo llamaremos "aduser" 2. El sistema esta sincronzando con un servidor NTP confiable: (el server NTP debe ser el AD serv
5 comentarios
Leer más