En este tutorial estaremos aprendiendo a conseguir certificados SSL firmados por una entidad de Certificación pública y de forma gratuita.
Existen dos tipos de certificados.1.- Los certificados autofirmados, estos certificados son igual de seguros pero el certificado de la entidad de certificación privada se debe instalar en cada uno de los dispositivos que harán uso de las conexiones seguras.
Si pensamos ofrecer servicios web a nuestros clientes, estos certificados no son de utilidad porque no podemos pedirle al cliente que instale nuestra copia del certificado en todos sus equipos.
Es por esto que existen los certificados emitidos por entidades de certificación públicas.
2.- Certificados emitidos por entidades de certificación públicas.
Es conveniente encontrar una entidad de certificación que venga configurada por defecto en la mayor cantidad de dispositivos, navegadores, sistemas operativos, etc.
De esta forma podremos proveer servicios a nuestros clientes y ellos no verán esos molestos errores de certificados inválidos.
Ej. StartCom es una de las 6 empresas más grandes y más aceptadas a nivel mundial y lo mejor es que tiene una opción gratis.
Abajo se puede ver una imagen con una muestra de los dispositivos y sistemas compatibles con con esta entidad.
También existen varios niveles de validación al momento de conseguir nuestros certificados, estos diferentes niveles de validación nos permiten incrementar el nivel de confiabilidad que nuestros clientes sienten al ingresar a nuestros sitios WEBs.
Cómo obtener niveles de Validación Extendidos va más allá del alcance de este tutorial.
El método que vamos a describir en este tutorial nos servirá para conseguir certificados válidos para:
Asegurar nuestro webmail con un certificado provisto por una entidad de certificación pública.
Asegurar las comunicaciones de Exchange server 2010 y 2013
Asegurar el inicio de sesión a nuestro sitio web o intranet.
Asegurar el acceso a nuestra casilla de email privada con los protocolos seguros POP3S, SMTPS, IMAPS
Apache server
IIS Server
Nginx Server
Otros Servidores y servicios.
Paso 1.- Ingresar al sitio web de la entidad de certificación https://www.startssl.com/
Paso 2.- Buscar la opción StartSSL Free y seleccionar el botón verde "Start Now"
A continuación deberemos seguir los pasos para autenticarnos, al finalizar podremos comenzar a emitir los certificados.
Paso 3.- El paso 2 nos lleva al siguiente sitio web. https://www.startssl.com/Account?r=%2FValidate
3.1.- En este sitio web nos ofrecen dos opciones, debemos escoger la que dice "Sing UP"
3.2.- Luego ingresamos nuestra casilla de email y damos un click al botón verde "Send verification code" y esperamos la llegada de un email de parte de "validation@startssl.com"
3.3 Dentro del contenido del email debemos buscar la siguiente línea: "Your verification code is"
Justo debajo de esta línea encontraremos una cadena de caracteres alfanuméricos que debemos copiar y pegar en el sitio web donde dice "Verification code".
3.4.- Luego el sistema de StartCom intentará instalar el certificado de forma automática y es posible que falle.
3.5 En caso que falle les pedirá que cree una contraseña, la contraseña se debe escribirse dos veces y dar un click en el botón verde "submit"
3.6 Y finalmente un click en el botón Azul que nos permite descargar el certificado que nos autentifica como propietarios de nuestra casilla de email.
Paso 4.- Instalar el certificado en nuestro sistema operativo.
Esto se consigue dando doble click al archivo descargado.
En el diálogo podemos aceptar con confianza todas las opciones por defecto hasta finalizar y no olvidarse de escribir la contraseña que creamos en el paso 3.4
Es posible que sea necesario reiniciar los navegadores.
Paso 5.- Volvemos al sitio web mencionado en el paso 3 https://www.startssl.com/Account?r=%2FValidate
Paso 6.- Ahora damos un click en el ícono de la llave verde y procedemos a seleccionar el certificado recientemente instalado, debería tener como nombre nuestro email.
Depende del navegador que usted esté utilizando, la forma en que este certificado es utilizado.
Ej 1.- Google Chrome le pide automáticamente que seleccione uno de los certificados instalados en windows.
Ej 2.- Para Mozilla firefox es necesario importar el certificado manualmente.
Para importar el certificado se debe ir a "Opciones" / "Avanzadas" / "Ver certificados" aquí podemos importar el archivo que recientemente descargamos de StartCom.
Paso opcional.- En caso que tengan problemas para autenticarse utilizando un Certificado Personal, también se puede iniciar sesión es este sitio web utilizando una contraseña de un solo uso (OTP - One Time Password).
Para hacer esto solo es necesario ingresar a este link y escribir nuestro email.
https://www.startssl.com/otplogin
Paso 7.- Emitir nuestro certificado.
Una vez estemos autenticados y podamos ingresar al sitio web el siguiente paso es Validar que somos propietarios del dominio en cuestión. Ej. micompañia.com
Para esto ingresamos a la pestaña "Validations Wizard", aquí ingresamos el nombre de nuestro dominio. Ej. micompañia.com
7.1.- El sistema necesita enviarnos un nuevo código de validación a la dirección de email asociada a la administración de dicho dominio y para eso busca en las bases de datos Whois las direcciones de email listadas.
En caso que no tengamos a mano ninguna de las opciones ofrecidas será necesario crear una de esas direcciones de email en nuestro servidor de emails o solicitar a nuestro proveedor que lo haga por nosotros y luego dar un click en el botón azul que dice "Send verification code"
Debemos ingresar a la casilla de email recientemente creada y estar atentos a la llegada de un email.
Tomar en cuenta que solo tendremos 60 segundos para copiar y pegar en la página web el código, si no es posible hacerlo a la primera, siempre podremos enviar un nuevo código.
7.2.- Éxito, ahora podemos buscar la pestaña "Certificate Wizard"
7.3.- En la pestaña "Certificate Wizard" escogemos la opción "Web Server SSL/TLS Certificate" y luego el botón azul "Continue"
7.4.- Entramos el nombre de dominio y las direcciones para las cuales vamos a emitir un certificado, también debemos generar una solicitud de firma de certificado. Es un archivo con extensión *.csr
Para esto podemos utilizar la herramienta "StartCommTool.exe" que nos es provista.
Ver link: https://download.startpki.com/startcom/startcomtool.exe
Finalmente damos click en el botón azul "submit"
7.5.- Cómo utilizar la herramienta StartComTool.exe, solo seleccionar las opciones mostradas abajo en el orden descrito.
Finalmente copiamos todos el contenido CSR presionando en el botón "Copy" y debemos pegarlo en la pestaña "Certificate Wizard" tal como se muestra en el inciso 7.4
Lo más importante es guardar los dos archivos generados por este software, como se vé en la flecha número 7
De estos dos archivos el que tiene extensión .key es el más importante y nunca debemos compartirlo con nadie. Esta es la clave privada.
Se debe tomar especial atención en distinguir las dos partes que tiene un certificado SSL. (La clave privada y la clave pública)..
7.6.- Éxito, una vez presionado el botón azul del inciso 7.4 el sistema debería generar un archivo comprimido .zip
Este archivo contiene los certificados generados para nosotros, si bien ha sido generado solo 1 certificado podremos ver que hay varios archivos. Esto se debe a que el sistema nos genera automáticamente varios formatos del mismo certificado.
Esto se debe a que los diferentes dispositivos que hacen uso de este certificado, tienen diferentes exigencias en cuanto a formato.
Incisos con imágenes.
3.1.-
En este sitio web nos ofrecen dos opciones, debemos escoger la que dice "Sing UP"
3.2.-
Luego ingresamos nuestra casilla de email y damos un click al botón verde "Send verification code" y esperamos la llegada de un email de parte de "validation@startssl.com"
Dentro del contenido del email debemos buscar la siguiente línea: "Your verification code is"
Justo debajo de esta línea encontraremos una cadena de caracteres alfanuméricos que debemos copiar y pegar en el sitio web donde dice "Verification code"
Justo debajo de esta línea encontraremos una cadena de caracteres alfanuméricos que debemos copiar y pegar en el sitio web donde dice "Verification code"
3.3.-
Dentro del contenido del email debemos buscar la siguiente línea: "Your verification code is"
Justo debajo de esta línea encontraremos una cadena de caracteres alfanuméricos que debemos copiar y pegar en el sitio web donde dice "Verification code"
3.5.-
En caso que falle les pedirá que cree una contraseña, la contraseña se debe escribirse dos veces y dar un click en el botón verde "submit"
3.6.-
Y finalmente un click en el botón Azul que nos permite descargar el certificado que nos autentifica como propietarios de nuestra casilla de email.
4.-
Instalar el certificado en nuestro sistema operativo.Esto se consigue dando doble click al archivo descargado.
En el diálogo podemos aceptar con confianza todas las opciones por defecto hasta finalizar y no olvidarse de escribir la contraseña de la clave privada que creamos en el paso 3.4
Es posible que sea necesario reiniciar los navegadores.
Paso Opcional.-
En caso que tengan problemas para autenticarse utilizando un Certificado Personal, también se puede iniciar sesión es este sitio web utilizando una contraseña de un solo uso (OTP - One Time Password).
Para hacer esto solo es necesario ingresar a este link y escribir nuestro email.
Para hacer esto solo es necesario ingresar a este link y escribir nuestro email.
7.1.-
El sistema necesita enviarnos un código de validación y para eso busca en las bases de datos Whois las direcciones de email listadas.
En caso que no tengamos a mano ninguna de las opciones ofrecidas será necesario crear una de esas direcciones de email en nuestro servidor de emails o solicitar a nuestro proveedor que lo haga por nosotros y luego dar un click en el botón azul que dice "Send verification code"
Debemos ingresar a la casilla de email recientemente creada y estar atentos a la llegada de un email.
Tomar en cuenta que solo tendremos 60 segundos para copiar y pegar en la página web el código, si no es posible hacerlo a la primera, siempre podremos enviar un nuevo código.
En caso que no tengamos a mano ninguna de las opciones ofrecidas será necesario crear una de esas direcciones de email en nuestro servidor de emails o solicitar a nuestro proveedor que lo haga por nosotros y luego dar un click en el botón azul que dice "Send verification code"
Debemos ingresar a la casilla de email recientemente creada y estar atentos a la llegada de un email.
Tomar en cuenta que solo tendremos 60 segundos para copiar y pegar en la página web el código, si no es posible hacerlo a la primera, siempre podremos enviar un nuevo código.
Abajo escribir el nombre de dominio para el cual va necesitar emitir certificados SSL
Escogemos la dirección de email a la que tenemos acceso, si no tenemos acceso a ninguna debemos crearla, de preferencia "webmaster" ya que las otras comúnmente están reservadas.
Luego damos un click en el botón "Send Verification Code" para que el sistema nos envíe un email con un código que debemos copiar y pegar aquí seguido del botón azul "Validation"
Abajo introducimos el código recibido para validar que somos propietarios o administradores del dominio en cuestión.
7.2.-
Éxito, ahora podemos buscar la pestaña "Certificate Wizard"
7.3.-
En la pestaña "Certificate Wizard" escogemos la opción "Web Server SSL/TLS Certificate" y luego el botón azul "Continue"
7.4.-
Entramos el nombre de dominio y las direcciones para las cuales vamos a emitir un certificado, también debemos generar una solicitud de firma de certificado. Es un archivo con extensión *.csr
Para esto podemos utilizar la herramienta "StartCommTool.exe" que nos es provista.
https://download.startpki.com/startcom/startcomtool.exe
Finalmente damos click en el botón azul "submit"
Para esto podemos utilizar la herramienta "StartCommTool.exe" que nos es provista.
https://download.startpki.com/startcom/startcomtool.exe
Finalmente damos click en el botón azul "submit"
7.5.-
Cómo utilizar la herramienta StartComTool.exe, solo seleccionar las opciones mostradas abajo en el orden descrito.
Finalmente copiamos todos el contenido CSR presionando en el botón "Copy" y debemos pegarlo en la pestaña "Certificate Wizard" tal como se muestra en el inciso 7.4
Lo más importante es guardar los dos archivos generados por este software, como se vé en la flecha número 7
De estos dos archivos el que tiene extensión .key es el más importante y nunca debemos compartirlo con nadie. Esta es la clave privada.
Se debe tomar especial atención en distinguir las dos partes que tiene un certificado SSL. (La clave privada y la clave pública)..
7.6.- Éxito
Ahora puede dar un click en el link "here" y descargar un archivo comprimido .zip que contendrá el certificado generado y en varios formatos para facilitar su uso.
No olvidar que debemos guardar este archivo junto con la clave privada .key que fué generada con la app StartComTool.exe.
Si perdemos la clave privada, todos este proceso será en vano ya que no podremos hacer uso del certificado porque el mismo está asociado a su clave privada.
No hay comentarios:
Publicar un comentario