Crear certificado SSL y subirlo a un HotSpot 4ipnet

En los últimos años, ha habido una creciente preocupación por la ciberseguridad y la privacidad. Los usuarios no quieren que sus datos sean interceptados cuando navegan en redes inalámbricas.

A medida que las redes sociales se han vuelto populares, para evitar que terceros roben información del usuario, las redes sociales mas comunes como Facebook ya no permiten el uso de páginas de destino sin encriptación.

Para asegurar la comunicación entre origen y destino, el uso de HTTPS se ha convertido en una obligatoriedad. Los beneficios de usar HTTPS incluyen:

  • Cifrado de datos. los datos solo pueden ser descifrados por el sitio web.
  • Autenticación. Si el certificado no es válido, el navegador mostrará alertas de seguridad.

En esta guía técnica, explicaremos cómo firmar un certificado HTTPS válido para que el servicio que demos a nuestros clientes sea seguro y fiable.

Ejemplo de la Página de Login con un certificado válido:

Login página

Ejemplo de la página de login sin un certificado valido

Login página

Requerimientos previos antes de disponer de un certificado SSL valido.

Antes de adquirir un certificado ssl tenemos que asegurarnos de disponer de estos 3 requerimientos previos:

  • Un dominio web activo. Este dominio, o subdominio, será el CN (Common Name) de nuestro certificado.
  • Una dirección de correo válida. Esta dirección debe estar autorizada por el hosting para que el CA (autoridad certificadora) pueda comprobar que somos el propietario del domino. Caso contrario, el CA lo comprobará a través del correo electrónico con el cual el dominio ha sido registrado.
  • Un proveedor de hosting. (Necesitamos disponer de un hosting donde se alojará dicho dominio.)

Si cumplimos con todos estos requerimientos, podemos continuar con el proceso de solicitar un certificado.

Cómo generar el CSR

Para conseguir un certificado digital válido, primero necesitamos generar un CSR, (Solicitud de firma de certificado). Luego, debemos enviar este CSR a un CA (Autoridad Certificadora) para que nos genere el CRT (certificado) firmado.

Hay varias formas de generar un CSR, en esta guía, vamos a utilizar el software “openssl” para generar el CSR y la clave privada.


Para cambiar el directorio, usamos el comando “cd” seguido del directorio, por ejemplo:

“cd C:\Program Files (x86)\GnuWin32\bin”
Usamos el comando “cd”

Una vez dentro del directorio, ejecutamos el software con el comando:

“openssl.exe”
Ejecutamos el software con el comando

Y por último, ejecutamos el siguiente comando para empezar a generar el CSR

“req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -config “C:\Program Files (x86)\GnuWin32\share\openssl.cnf””

Donde: “server.key” es el nombre de nuestra clave privada e “server.csr” es el nombre del archivo con nuestra solicitud de firma de certificado.

Nuestra clave y nuestro CSR, se llamarán wifisafe.key y wifisafe.csr

Clave y nuestro CSR

Nuestra clave privada y nuestro CSR serán generados y guardados en el directorio:

“C:\Program Files (x86)\GnuWin32\bin”

El siguiente paso, es rellenar la información necesaria en el CSR con la información del solicitante.

Los principales parámetros que debemos rellenar son el “Country Name”, “State or Province Name”, “Locality Name”, “Organization Name” “Organizational Unit Name” y el más importante: “Common Name” el cual debe ser nuestro subdominio. Por ejemplo: Disponemos del dominio https://wifisafe.com pero nuestro certificado será para el subdominio https://hotspot1.wifisafe.com. Seguimos rellenando los campos con el “Email Address” y por último, definimos una contraseña para el certificado.

No es necesario rellenar todos los campos. El obligatorio es el “Common Name”, pero es recomendable completar toda la información requerida. Eso ayudará que el proceso de aprobación del certificado sea más corto.

Así quedaría nuestro CSR con todos los campos completados:

CSR con todos los campos completados

Completado este paso, accedemos a la ruta donde guardamos nuestra clave privada y nuestro CSR.

Recordamos que por defecto la ruta es:

“C:\Program Files (x86)\GnuWin32\bin”

Dentro del directorio, deberíamos encontrar dos nuevos archivos, llamados “wifisafe.key” y “wifisafe.csr”.

Archivos wifisafe.key y wifisafe.csr

No podemos enviar el archivos “wifisafe.csr” a nuestro CA, ya que el campo para introducir el CSR solo acepta texto. Por lo tanto, debemos antes, abrir nuestro CSR con un editor de texto.

CSR con un editor de texto

Y este sería el aspecto de nuestro CSR en formato texto:

CSR en formato texto

Comprar certificado y generarlo

Una vez hayamos generado el CSR, debemos enviarlo a un CA para que nos envíe un certificado firmado, basándose en la información que contiene el CSR y la clave privada.

¿Tiene algún coste?

Si. Los certificados ssl hay que comprarlos. Su valor, depende del CA que elijamos, y del periodo de validez del certificado. En esta guía, utilizaremos el sitio web “CheapSSLseciruty” para comprar nuestro certificado.

En esta web, podemos comprar un certificado autenticado por COMODO (un CA) válido por 2 años por menos de 15 dólares. Una vez finalizado el periodo de 2 años, habría que renovar el certificado, repitiendo los pasos de este documento.

Hay diferentes formas de comprar un certificado. El proceso de compra va a variar dependiendo de donde lo compramos. Explicaremos el proceso de compra a traves de “CheapSSLSecurity” Si utiliza otro sitio web para comprar su certificado, el proceso puede variar.


“Comodo PositiveSSL Certificate” y hacemos clic en “buy now
  • Seleccionamos el periodo de validez del certificado ( 1 o 2 años) y presionamos sobre “add to cart”.

“add to cart”
  • Complete la información de pago

Complete la información de pago
  • Una vez completada la información del pago, hacemos clic en “Begin Now” para continuar.

“Begin Now” para continuar
  • Elija la forma de verificación como “Email”.

Forma de verificación como “Email”

El CA debe verificar si nosotros realmente somos el propietario del domino. Hay cuatro opciones de verificación. Recomendamos usar "E-mail" ya que es la manera más fácil. Por ejemplo, si desea firmar un certificado con el CN "hotspot.example.com", solo tiene que tener cuentas de correo electrónico como admin@example.com, administrator@example.com o webmaster@example.com.

El CA comprobará el propietario del dominio, y te mostrará los correos electrónicos asociados para poder verificarlo. (debes tener acceso al menos a uno de los correos listados.

En el supuesto de que no aparezca ningún correo al cual tengas acceso, debe contactar con la empresa donde ha comprado el dominio, o con su hosting.

Este proceso funciona de la siguiente manera:

El CA comprobará el listado WHOIS y te mostrará los posibles correos electrónicos asociados al domino/hosting. Nosotros por ejemplo, no disponemos de los típicos correos de “postmaster@wifisafe.com” o webmaster@wifisafe.com. Por lo que hemos seleccionado un correo asociado a nuestro hosting, hemos contactado con ellos para que nos aprueben la solicitud. Pero, por regla general, debería salir el correo con el cual se registró el dominio en la lista. Si tenemos acceso a este correo, no deberíamos tener problemas.

Acceso a uno de los correos del listado WHOIS

Una vez que estemos seguros que disponemos de acceso a uno de los correos del listado WHOIS o sabemos quien en nuestro hosting, podemos continuar.

El siguiente paso, es pegar el CSR que hemos generado previamente en el campo IMPUT CSR.

Para enviarlo al CA, debemos copiar todo el texto que aparece en el editor de texto. Incluido las lineas “BEGIN e END”.

“BEGIN e END”

Debemos copiar y pegar el CSR en formato texto en el campo “Imput CSR” como en la imagen a continuación

Campo “Imput CSR”

Seleccionamos nuestro tipo de servidor, que en este caso es “Apache-ModSSL” y hacemos clic en “continue”

“Apache-ModSSL” y hacemos clic en “continue”

Y por último, seleccionamos un correo electrónico de la lista de correos aprobamos por nuestro servidor.

Como hemos comentado antes, es necesario que el correo sea válido y que esté presente en el listado WHOIS. Nosotros seleccionamos el correo asociado a nuestro hosting, que es emibin.

Correo asociado a nuestro hosting, que es emibin

Luego, lea y acepte los términos y condiciones, y haga click en “continue”.

El CA enviará al correo electrónico seleccionado de la lista, un código de verificación, para que pueda validar el dominio. Este paso tardará mas o menos, dependiendo del CA que elijamos.

El correo electrónico que nos envía el CA tiene este aspecto:

El correo electrónico que nos envía el CA

Hacemos clic en “here” y seremos direcionados a la pagina para introducir el código de validación.

Páagina para introducir el código de validación

Una vez que el CA valide el nombre del dominio recibiremos en el correo electrónico que hayamos seleccionado del listado WHOIS, nuestro certificado firmado.

Nuestro certificado firmado

Dentro del archivo .zip, encontraremos 4 archivos. Guardalos en un lugar seguro.

Los archivos que necesitamos subir a nuestro HotSpot son:

  • El certificado
  • “www_XXX_com.crt” que está en el archivo Zip. Que es su nombre de dominio registrado.

  • El Intermediate CA
  • “COMODORSADomainValidationSecureServerCA.crt” que está en el archivo Zip que el CA nos ha enviado.

  • Private Key
  • Que es la clave privada que hemos generado junto con nuestro CSR (wifisafe.key) que se encuentra en la ruta: C:\Program Files (x86)\GnuWin32\bin


Cargar certificado en el HotSpot

Accedemos a nuestro HotSpot y vamos a “Utilities → Certificates” y hacemos clic en el icono del lápiz en "System Certificate”.

Clic en el icono del lápiz en

Subimos los 3 archivos que hemos comentado antes: Certificado, Clave privada y Intermediate CA.

Certificado, Clave privada y Intermediate CA

Y como último paso, cambiamos el certificado por defecto, por nuestro certificado válido en “System → General” Activamos la opción “User HTTPS Login”, seleccionamos “UPLOAD1”, que es nuestro certificado firmado.

Activamos la opción “User HTTPS Login”, seleccionamos “UPLOAD1”

Completado este paso, solo nos queda reiniciar el equipo para que empiece a utilizar nuestro nuevo certificado.

Veremos que el “internal domain name” ahora, es el subdominio que utilizamos como CN (common name) a la hora de crear nuestro certificado.

Así veríamos la pagina de login cuando dispongamos de un certificado valido.

Página de login cuando dispongamos de un certificado valido
Lectura Recomendada:

ANEXO 1: Conceptos básicos sobre HTTPS y certificados SSL

HTTPS utiliza un algoritmo de cifrado asimétrico para cifrar datos. Esto significa que la clave de cifrado y la clave de descifrado son diferentes. En términos generales, la "clave pública" es para cifrar datos y la "clave privada" es para descifrarlos.

Solo la clave clave privada, alojada en el servidor, puede descifrar datos que se han cifrado utilizando una clave pública específica.

El cliente HTTPS (navegador web) usa la clave pública almacenada en el certificado para cifrar los datos, luego los envía al servidor HTTPS (servidor Web). Después de recibir los datos del cliente, el servidor HTTPS lo descifra usando la clave privada.

Además de la clave privada, un certificado HTTPS contiene información para clientes HTTPS que permite verificar la validez del certificado, emisor de certificado, período válido de certificado, nombre común, etc.

¿Que debemos saber antes de iniciar el proceso para disponer de un certificado HTTPS válido?

  • Certificate Authority (CA)

Autoridad certificadora:

Una autoridad de certificación es una entidad que emite un certificado. Un CA válido significa que la mayoría de los dispositivos (navegadores o sistemas operativos) confían en los certificados emitidos por este CA.

Los CA mas conocidos son: Symantec, GeoTrust, RapidSSL, COMODO, entre otros.

  • Certificate Signing Request (CSR)

Solicitud de firma de certificado:

Una solicitud de firma de certificado es un mensaje que debemos enviar a un CA para firmar un certificado.

Debido a que la clave pública almacenada en el certificado debe ser “el par” de la clave privada, pero la clave privada no se puede enviar al CA, para firmar un certificado, primero tenemos que crear la clave privada, y luego usar esta clave privada para generar el CSR que enviaremos a nuestro CA. Basado en este CSR, el CA creará el Certificado para que la clave Pública sea “el par” de la Clave Privada.

El CSR también contiene información que se añadirá al certificado para identificar el propietario, por ejemplo, el nombre común del certificado, el código del país del certificado, el correo electrónico del propietario del certificado, etc.

  • Common Name (CN)

Nombre común:

El nombre común, es el nombre del certificado, generalmente es el nombre de dominio del sitio web. Por ejemplo, el CN del certificado de Google es www.google.com.

¿Cómo sabemos si un certificado es válido?

El navegador verificará si un certificado es válido en función de:

  • El período de validez:

Cuando un CA emite un certificado, le asigna un período de validez, que generalmente es de 1 o 2 años, según el precio del certificado. Si el certificado ha expirado, el navegador mostrará una alerta de seguridad.

  • Lista de certificados revocados (CRL):

Si el CA que emitió el certificado ya no es confiable, o si la clave privada del certificado se ha visto comprometida debido a un motivo como la piratería o un error humano, el certificado puede ser revocado y pasaría a formar parte de una lista conocida como CRL. Todos los certificados que formen parte de la CRL no son válidos. El navegador mostrará una alerta de seguridad cuando detecte que un certificado está en la CRL.

  • Emisor de certificado:

El navegador verificará si el CA es de confianza. Esto está determinado por el navegador en sí o por el sistema operativo.

  • Nombre común:

El navegador verificará si el CN del certificado recibido es el mismo que el dominio. Por ejemplo, si visita https://www.abc.com y el CN del certificado que recibe el navegador es www.def.com, el navegador mostrará una alerta de seguridad.

  • Huella digital:

Algunos navegadores almacenan la Huella digital de los Certificados de ciertos dominios populares, y verifica si el Certificado recibido tiene la misma Huella digital o no. Si la Huella digital no coincide con la Huella digital en la base de datos del navegador, se mostrará una alerta de seguridad en el navegador. Por ejemplo, Google Chrome almacena la Huella digital del certificado de Google.

Ejemplo de los mensajes que muestra el navegador cuando un certificado no es valido.

Los mensajes que verá en el navegador cuando un certificado no es valido, varia de acuerdo con la versión y el navegador que utilizamos (Firefox, Chrome, IE. etc.)

Si el sitio web no es de confianza:

Sitio web no es de confianza

Certificado Revocado:

Certificado Revocado

También podemos saber si el certificado es valido o no, de acuerdo con el color de la barra del navegador.

Certificado no válido:

En este caso, aparecerá una barra de color rojo en el navegador, indicando que el sitio no es seguro

Barra de color rojo en el navegador

Certificado válido:

En este caso, aparecerá una barra de color verde en el navegador, indicando que el sitio es seguro.

Barra de color verde en el navegador

Los mensajes y colores pueden variar en función del navegador y la versión del mismo.

¿Qué es un certificado Wildcard?

Un wildcard es un certificado que se puede usar para múltiples nombres de dominio. Por ejemplo, al crear un certificado wildcard, decimos que nuestro CN es *.example.com podemos utilizar este mismo wildcard para los subdominios: hotspot1.example.com, hotspot2.example.com, hotspot3.example.com, etc.

Más información y otros artículos/manuales en Blog de Wifisafe (https://www.wifisafe.com/blog/categoria/soporte/)

  • Artículo creado por WifiSafe Spain SL.
  • Queda prohibida la reproducción parcial o total sin previo consentimiento.
  • Contacto: soporte@wifisafe.com
  • Web del fabricante: www.4ipnet.com

¿Quieres descargar este manual?

Descargar manual en .pdf

WifiSafe se dirige a profesionales, pequeñas y medianas empresas, grandes organizaciones y compañías o administraciones públicas, como una alternativa de solución segura y profesional.

CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS
.

Para obtener más información, ponte en contacto con el Departamento de Soporte 807 450 005 o el Departamento de Pedidos 902 506 100 o envía un correo electrónico a info@wifisafe.com

PRODUCTOS Y SOLUCIONES WIRELESS