Crear certificado SSL y subirlo a un HotSpot EdgeCore Networks

Aprende lo que tienes que hacer para crear e implementar un certificado SSL en tu HotSpot EdgeCore Networks y comienza a usar HTTPS con nuestro tutorial.

En los últimos años, ha habido una creciente preocupación por la ciberseguridad y la privacidad. Los usuarios no quieren que sus datos sean interceptados cuando navegan en redes inalámbricas.

A medida que las redes sociales se han vuelto populares, para evitar que terceros roben información del usuario, las redes sociales más comunes como Facebook, ya no permiten el uso de páginas de destino sin encriptación.

Para asegurar la comunicación entre origen y destino, el uso de HTTPS se ha convertido en una obligatoriedad.

Beneficios de utilizar HTTPS

  • Cifrado de datos. los datos solo pueden ser descifrados por el sitio web.
  • Autenticación. Si el certificado no es válido, el navegador mostrará alertas de seguridad.

En esta guía técnica, explicaremos cómo firmar un certificado HTTPS válido para que el servicio que des a tus clientes sea seguro y fiable.

Un ejemplo de la Página de Login con un certificado válido se muestra de la siguiente manera:

Login página

Mientras que este sería un ejemplo de la Página de Login sin un certificado valido.

Login página

Requerimientos previos antes de disponer de un certificado SSL valido.

Antes de adquirir un Certificado SSL, tenemos que asegurarnos de disponer de estos 3 requerimientos previos:

  • Un dominio web activo. Este dominio, o subdominio, será el CN (Common Name) de nuestro certificado.
  • Una dirección de correo válida. Esta dirección debe estar autorizada por el Hosting para que el CA (Autoridad Certificadora), pueda comprobar que somos el propietario del domino. Caso contrario, el CA lo comprobará a través del correo electrónico, con el cual el dominio ha sido registrado.
  • Un proveedor de Hosting. (Necesitamos disponer de un Hosting donde se alojará dicho dominio.)

Si cumplimos con todos estos requerimientos, podemos continuar con el proceso de solicitar un certificado SSL.

Cómo generar el CSR

Para conseguir un certificado digital válido, primero necesitamos generar un CSR, (Solicitud de firma de certificado). Luego, debemos enviar este CSR a un CA (Autoridad Certificadora) para que nos genere el CRT (certificado) firmado.

Existen varias formas de generar un CSR, en esta guía, vamos a utilizar el software “Openssl” para generar el CSR y la clave privada.

“símbolos del sistema” como administrador
  • Nos situamos en el directorio donde hemos instalado el software Openssl, que por defecto es: C:\Program Files (x86)\GnuWin32\bin

Para cambiar el directorio, usamos el comando “cd” seguido del directorio, por ejemplo:

“cd C:\Program Files (x86)\GnuWin32\bin”

Usamos el comando “cd”

Una vez dentro del directorio, ejecutamos el software con el comando:

“openssl.exe”

Ejecutamos el software con el comando

Y por último, ejecutamos el siguiente comando para empezar a generar el CSR:

“req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -config “C:\Program Files (x86)\GnuWin32\share\openssl.cnf””

Donde: “server.key” es el nombre de nuestra clave privada y “server.csr”, es el nombre del archivo con nuestra solicitud de firma de certificado.

Nuestra clave y nuestro CSR, se llamarán wifisafe.key y wifisafe.csr.

Clave y nuestro CSR

Nuestra clave privada y nuestro CSR serán generados y guardados en el directorio:

“C:\Program Files (x86)\GnuWin32\bin”

El siguiente paso, es rellenar la información necesaria en el CSR con la información del solicitante.

Los principales parámetros que debemos rellenar son el “Country Name”, “State or Province Name”, “Locality Name”, “Organization Name” “Organizational Unit Name” y el más importante: “Common Name”, el cual, debe ser nuestro subdominio.

Por ejemplo, disponemos del dominio https://wifisafe.com pero nuestro certificado será para el subdominio https://hotspot1.wifisafe.com. Seguimos rellenando los campos con el “Email Address” y por último, definimos una contraseña para el certificado.

No es necesario rellenar todos los campos. El obligatorio es el “Common Name”, pero es recomendable completar toda la información requerida. Eso ayudará a que el proceso de aprobación del certificado sea más corto.

Así quedaría nuestro CSR con todos los campos completados:

CSR con todos los campos completados

Accedemos a la ruta donde guardamos nuestra clave privada y nuestro CSR.

Recordamos que por defecto la ruta es:

“C:\Program Files (x86)\GnuWin32\bin”

Dentro del directorio, deberíamos encontrar dos nuevos archivos, llamados “wifisafe.key” y “wifisafe.csr”.

Archivos wifisafe.key y wifisafe.csr

No podemos enviar el archivos “wifisafe.csr” a nuestro CA, ya que el campo para introducir el CSR solo acepta texto. Por lo tanto, debemos antes, abrir nuestro CSR con un editor de texto.

CSR con un editor de texto

Y este sería el aspecto de nuestro CSR en formato texto:

CSR en formato texto

Comprar certificado y generarlo

Una vez hayamos generado el CSR, debemos enviarlo a un CA para que nos envíe un certificado firmado, basándose en la información que contiene el CSR y la clave privada.

¿Tiene algún coste?

Si. Los Certificados SSL hay que comprarlos. Su valor, depende del CA que elijamos, y del periodo de validez del certificado.

En esta guía, utilizaremos el sitio web “CheapSSLseciruty” para comprar nuestro certificado.

En CheapSSLseciruty, podemos comprar un certificado autenticado por COMODO (un CA) válido por 2 años por menos de 15 dólares. Una vez finalizado el periodo de 2 años, habría que renovar el certificado, repitiendo los pasos de este documento.

Hay diferentes formas de comprar un certificado. El proceso de compra va a variar dependiendo de donde lo compramos.

Explicaremos el proceso de compra a través de “CheapSSLSecurity”. Si utiliza otro sitio web para comprar su certificado, el proceso puede variar.

“Comodo PositiveSSL Certificate” y hacemos clic en “buy now
  • Seleccionamos el periodo de validez del certificado ( 1 o 2 años) y presionamos sobre “add to cart”.
“add to cart”
  • Complete la información de pago:
Complete la información de pago
  • Una vez completada la información del pago, hacemos clic en “Begin Now” para continuar.
“Begin Now” para continuar
  • Elija la forma de verificación como “Email”.
Forma de verificación como “Email”

El CA debe verificar si nosotros realmente somos el propietario del domino. Hay cuatro opciones de verificación. Recomendamos usar "E-mail", ya que es la manera más sencilla.

Por ejemplo, si desea firmar un certificado con el CN "hotspot.example.com", solo tiene que tener cuentas de correo electrónico como admin@example.com, administrator@example.com o webmaster@example.com.

El CA comprobará el propietario del dominio, y te mostrarán los correos electrónicos asociados para poder verificarlo. (Debes tener acceso al menos a uno de los correos listados)

En el supuesto de que no aparezca ningún correo al cual tengas acceso, debe contactar con la empresa donde ha comprado el dominio, o con su hosting.

Este proceso funciona de la siguiente manera:

El CA comprobará el listado WHOIS y te mostrará los posibles correos electrónicos asociados al domino/hosting. Nosotros por ejemplo, no disponemos de los típicos correos de “postmaster@wifisafe.com” o "webmaster@wifisafe.com". Por lo que hemos seleccionado un correo asociado a nuestro hosting, hemos contactado con ellos para que nos aprueben la solicitud. Pero, por regla general, debería salir el correo con el cual se registró el dominio en la lista. Si tenemos acceso a este correo, no deberíamos tener problemas.

Una vez que estemos seguros de que disponemos de acceso a uno de los correos del listado WHOIS o sabemos quién es nuestro hosting, podemos continuar.

El siguiente paso, es pegar el CSR que hemos generado previamente en el campo IMPUT CSR.

Para enviarlo al CA, debemos copiar todo el texto que aparece en el editor de texto. Incluido las lineas “BEGIN e END”.

“BEGIN e END”

Debemos copiar y pegar el CSR en formato texto en el campo “Imput CSR” como en la imagen a continuación:

Campo “Imput CSR”

Seleccionamos nuestro tipo de servidor, que en este caso es “Apache-ModSSL” y hacemos clic en “Continue

“Apache-ModSSL” y hacemos clic en “continue”

Y por último, seleccionamos un correo electrónico de la lista de correos aprobados por nuestro servidor.

Como hemos comentado antes, es necesario que el correo sea válido y que esté presente en el listado WHOIS. Nosotros seleccionamos el correo asociado a nuestro hosting, que es emibin.

Correo asociado a nuestro hosting, que es emibin

Luego, lea y acepte los términos y condiciones, y haga click en “Continue”.

El CA enviará al correo electrónico seleccionado de la lista, un código de verificación, para que pueda validar el dominio. Este paso tardará más o menos, dependiendo del CA que elijamos.

El correo electrónico que nos envía el CA tiene este aspecto:

El correo electrónico que nos envía el CA

Hacemos clic en “here” y seremos direcionados a la página para introducir el código de validación.

Páagina para introducir el código de validación

Una vez que el CA valide el nombre del dominio recibiremos en el correo electrónico que hayamos seleccionado del listado WHOIS, nuestro certificado firmado.

Nuestro certificado firmado

Dentro del archivo .zip, encontraremos 4 archivos. Guárdalos en un lugar seguro.

Los archivos que necesitamos subir a nuestro HotSpot son:

  • El certificado

www_XXX_com.crt” que está en el archivo Zip. Que es su nombre de dominio registrado.

  • El Intermediate CA

COMODORSADomainValidationSecureServerCA.crt” que está en el archivo Zip que el CA nos ha enviado.

  • Private Key

Que es la clave privada que hemos generado junto con nuestro CSR (wifisafe.key) que se encuentra en la ruta: C:\Program Files (x86)\GnuWin32\bin

Cargar certificado SSL en HotSpots de EdgeCore Networks

Accedemos a nuestro HotSpot y vamos a “Utilities → Certificates” y hacemos clic en el icono del lápiz en "System Certificate”.

Clic en el icono del lápiz en

Subimos los 3 archivos que hemos comentado antes: Certificado, Clave privada y Intermediate CA.

Certificado, Clave privada y Intermediate CA

Y como último paso, cambiamos el certificado por defecto, por nuestro certificado válido en “System → General”. Activamos la opción “User HTTPS Login”, seleccionamos “UPLOAD1”, que es nuestro certificado firmado.

Activamos la opción “User HTTPS Login”, seleccionamos “UPLOAD1”

Completado este paso, sólo nos queda reiniciar el equipo para que empiece a utilizar nuestro nuevo certificado.

Veremos que el “Internal Domain Name” ahora, es el subdominio que utilizamos como CN (common name) a la hora de crear nuestro certificado.

Así veríamos la Página de Login cuando dispongamos de un certificado valido.

Página de login cuando dispongamos de un certificado valido

Lectura Recomendada:

Conceptos básicos sobre HTTPS y certificados SSL

Más información y otros artículos/manuales en
Blog de WifiSafe (https://www.wifisafe.com/blog/categoria/soporte/)

  • Artículo creado por WifiSafe Spain SL.
  • Queda prohibida la reproducción parcial o total sin previo consentimiento.
  • Contacto: soporte@wifisafe.com
  • Web del fabricante: www.edge-core.com


CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS

Para obtener más información, ponte en contacto con el Departamento de Soporte o el Departamento de Pedidos 902 506 100 o envía un correo electrónico a info@wifisafe.com