DONDE Y COMO COMPRAR UN CERTIFICADO DIGITAL???

[snick]

Los que te venden el dominio no tienen certificados SSL ? asi ya no va mostrar el mensaje de sitio no seguro

las ssl son configuraciones que se hacen dentro del servidor, sobre el apache,ngix,iis,etc.
lo que se comprar es el servicio de que un distribuidor te tenga en su lista de sitios(ip y dominio) verificado, osea poniéndolo en un ejemplo simple, tu pagas para que tu servidor tenga un dui, que diga que ese servidor es, quien dice ser.

esto se logra generando una llave encriptada, que se almacena en tu server y en el server que autentica(se godaddy,google,letsencrypt,etc.), svnet no tiene ese servicio, mas que todo por lentos  , ellos podrían proveerlo pero svnet siempre se aprovecha de ser el único sitio que da .sv para no hacer nada por sus clientes 

[Black Hawk]

Si lo quisieras comprar, yo los compro en https://cheapsslsecurity.com, uso de los rapidSSL desde hace años, si solo compras un año vale 7.99. Si tu servidor es windows+IIS yo te puedo ayudar, no es complicado

[ELITE]

Si lo quisieras comprar, yo los compro en https://cheapsslsecurity.com, uso de los rapidSSL desde hace años, si solo compras un año vale 7.99. Si tu servidor es windows+IIS yo te puedo ayudar, no es complicado

Gracias, esa sera la ultima opción, los de pago 

Pero solo por orgullo, porque me he estado devanando desde ayer con Lets Encrypt y aun no logro crear el crt 

Ya que el $$ no es problema dejare esa opción hasta que ponga el certificado gratuito, igual pondré acá lo que hice para futuras generaciones 

[ELITE]

Solo comentar que este dia tipo 10am se logro colocar el Digital Cert de LetsEncrypt con la fina y majestuosa asesoría y colaboración del comuno Snick 

Estoy preparando la guía para SVC y que este tema quede en ayuda a futuro

Snick gracias totales.

[snick]

Solo comentar que este dia tipo 10am se logro colocar el Digital Cert de LetsEncrypt con la fina y majestuosa asesoría y colaboración del comuno Snick 

Estoy preparando la guía para SVC y que este tema quede en ayuda a futuro

Snick gracias totales.

De nada, solo recuerda apuntar bien   

[ELITE]

Configurar Certificado Digital de LetsEncrypt en Windows Server 2012 con Apache

Esta guía está basada en las siguientes guías online
https://vivavivugeek.blogspot.com/2017/09/wamp-64-bit-free-ssl-lets-encrypt.html (G1)
https://github.com/PKISharp/win-acme/wiki/Apache-2.4-Basic-usage (G2)

Pero han sido adecuadas al escenario de mi servidor
— Windows Server 2012
— Apache y PHP en módulos separados
— Dominio funcionando desde hace un tiempo

Advertencia: Hacer Backups de los archivos antes de todo, tu serás responsable de lo que pase a partir de ahora.

No haremos los pasos como la guía puesto que en la vida real las cosas son un poco diferentes en cada escenario.

1-   Iremos al sitio de descarga de win-acme (WA) que nos proporciona la G1 en el paso 5 https://github.com/PKISharp/win-acme/releases

2-   Descargamos la última versión, y ojo, la G1 muestra una versión que ya no está en uso.

3-   Iremos con el CMD en modo administrador hasta la carpeta del win-acme (recomendable en C:\algo) en nuestro servidor, una vez ahí utilizaremos el siguiente comando de la G2:

letsencrypt.exe --plugin manual --manualhost www.tudominio.org.sv --webroot c:\Apache24\htdocs\CarpetaSitio –warmup

Reemplazando www.tudominio.org.sv por tu dominio real y funcionando al momento de este paso y CarpetaSitio por la carpeta de tu sitio, ósea tu webroot.

Presten vital atención al webroot de su servidor.

Y que hace ese comando?
Bueno primero le dice al WA que lo haremos manual y sin asistente.
Que tome nuestro dominio y haga las pruebas de conexión y prueba de autenticación con LetsEncrypt (LE)
Y el --warmup nos hace un mapeo de lo que hace el soft y nos despliega errores más detallados.

4-   Si todo ha salido bien nos desplegara la siguiente imagen


La cual nos indica que el certificado fue creado correctamente.
Podemos encontrarlo en
C:\ProgramData\win-acme\httpsacme-v01.api.letsencrypt.org
En esa carpeta encontraremos todo lo relacionado a nuestro Certificado Digital (DC)

5-   Solo queda verificar que se halla creado la tarea programada para renovar el certificado, en mi caso se creó perfectamente.

6-   Pero aún no hemos ver nuestro sitio bajo https, falta la configuración del mismo. Tal y como lo indica la G1, procedamos a descomentar de nuestro archivo httpd.conf las siguientes líneas

LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf

Ojo con esta última línea, ya que al descomentarla, si reinician apache no funcionara el sitio porque el archivo httpd-ssl.conf aún no tiene la configuración necesaria.

7-   Bien, configuremos el httpd-ssl.conf
Acá descomentaremos las siguientes líneas

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Y por si no está descomentada, que lo dudo, en el php.ini descomentamos

extension=php_openssl.dll

8-   Bien, según la G1 en este momento habría que agregar hosts virtuales para hacer que trabaje el https, pero en mi caso preferí hacerlo directamente en las configuraciones de cada protocolo.

Primero en vamos a trabajar lo siguiente en el archivo httpd-ssl.conf que es el que maneja el https.

Primero definamos los directorios raíz de las configuraciones que vamos hacer

Define CERTROOT "C:/ProgramData/win-acme/httpsacme-v01.api.letsencrypt.org"
Define SITEROOT "c:/Apache24/htdocs/Site"

Cambiamos la linea del DocumentRoot "c:/Apache24/htdocs" por

DocumentRoot "${SITEROOT}"

ServerName www.example.com:443 por

ServerName www.tudominio.org.sv:443

SSLCertificateFile "c:/Apache24/conf/server.crt" por

SSLCertificateFile "${CERTROOT}/www.tudominio.org.sv-chain.pem"

SSLCertificateKeyFile "c:/Apache24/conf/server.key" por

SSLCertificateKeyFile "${CERTROOT}/www.tudominio.org.sv-key.pem"

Y listo, en este momento ya tendríamos que poder ver nuestro sitio bajo https, pueden ir a https://tusitio.com y si todo está bien ya deben ver la conexión segura


9-   Ahora solo toca hacer que todo el tráfico de http del puerto 80 sea dirigido al https del puerto 443, para ello pueden hacer uso de host virtuales o en última instancia de un .htaccess pero en mi caso preferí hacerlo en apache (httpd.conf) para que todo, todo el tráfico se dirija a https

Bien en el mencionado archivo hacemos lo siguiente, yo lo hice justo bajo la linea de Listen 80

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://www.tudominio.org.sv [R,L]

Si todo ha  salido bien, no importa como escriban tu dominio, con www o sin ellas, con https o sin él, todo será redirigido a https y tu conexión estará segura.


Agradecimientos al comuno Snick por su valiosa ayuda 

Guia PDF en Mega

[ELITE]

Actualización del tema 

Les comento que tras 3 meses funcionando bien el DC palmo (se venció) este 20/02/2019 y cuando la tarea programada se ejecutaba no se renovaba lo que me llevo a que diera error de conexión el sitio (mostraba el anuncio de mal certificado etc)

Lo peor es que ahí tengo una DB que sirve para una Android App mía y no me funcionaba, básicamente la app me dio la alarma del fallo 

Solución:
Junto al comuno Snick comenzamos a ver el tema y después de mucho buscar dimos que el servidor de LetsEncrypt no podía crear y modificar archivos en el webroot por tema de permisos del Apache.

<Directory />
    AllowOverride none
    #Require all denied
</Directory>

Así que Comente la linea del Require all denied y el DC se pudo renovar con éxito 

Con esto espero que en 3 meses no tenga que hacer otra actualización de este tema

[ELITE]

Con esto espero que en 3 meses no tenga que hacer otra actualización de este tema

En IT nunca salen las cosas como uno quiere 

Llego 22 de Mayo y con ello la actualización del Certificado, y hay que aclarar que según me comentaba el buen comuno Snick, en Wind2 no funciona la tarea programada porque no se corre directamente en consola, ni modo todos ya sabemos como es Win2 

En esta actualización nos daba error 403 Forbidden y era extraño pues nunca nos había pasado eso antes.

Problema:
Cuando en el httpd.conf pasamos todo de http a httpS, cuando el server de LetsEncript quiere actualizar busca el dominio con http pero este lo redirecciona a https y por eso no puede llegar a hacer la validacion.

Solución:
Quitar un momento la redireccion del trafico de http a https
Actualizar el certificado
Volver a redirigir

Como siempre las gracias al comuno Snick 

Hoy si, ya no creo que tenga que actualizar mas este post por problemas  en la renovación

[snick]

Solución:
Quitar un momento la redireccion del trafico de http a https

perdón que te corrija, pero no es de quitar el re-direccionamiento, es de que la regla quede bien hecha, algo así:
   RewriteEngine on
    RewriteRule ^(.*)$ https://www.dominio.com/$1 [R=301,L]
    RewriteCond %{SERVER_NAME} =Alias1(IP) [OR]
    RewriteCond %{SERVER_NAME} =Alias2 [OR]
    RewriteCond %{SERVER_NAME} =Alias3
    RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]
para que al re-direccionar no se pierdan los parámetros que venían con la petición

[rdoggsv]

Yo creo que se refiere a que como el certificado se venció, estaba redireccionando a https, pero como ya no servía, se le cortaba el tráfico por no aceptar un certificado vencido. Funciona para renovar dejando el redireccionamiento si todavía no se te ha vencido creo yo.

Yo pensaba que hacía una conexión en un puerto diferente LetsEncrypt para validar que la IP corresponde al dominio, no sabía que usaba el propio http.

[ELITE]

La regla seria

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www\. [NC]
RewriteRule ^ https://www.dominio.org.sv%{REQUEST_URI} [R=301,L,NE]

Yo creo que se refiere a que como el certificado se venció, estaba redireccionando a https, pero como ya no servía, se le cortaba el tráfico por no aceptar un certificado vencido. Funciona para renovar dejando el redireccionamiento si todavía no se te ha vencido creo yo.

Yo pensaba que hacía una conexión en un puerto diferente LetsEncrypt para validar que la IP corresponde al dominio, no sabía que usaba el propio http.

Justo como lo ha dicho, pero el maje (osea yo) no le hizo caso a los correos que me enviaron hace 10 días,  quería aprobar que pasaba y ya vimos que no fue buena idea lol 

Lo peor no es lo del sitio (que valga aclarar no lo he hecho yo) lo peor es que justo ahí tengo unas imágenes para firmas de correo y al no poder accesar a mi carpeta, trababan outlook (que raro no  ) y una base de datos para mi App Android, que sin un certificado válido truena porque esta haciendo consultas bajo https, cosa que voy a ver como hago para hacerle un bypass para que si no encuentre https se pueda meter con http (porque ganas de quitar el certificado no me faltaron ayer  )

Pues si, usa el propio http para validar los certificados.


Snick es el mero mero eso si 

[snick]

Yo creo que se refiere a que como el certificado se venció, estaba redireccionando a https, pero como ya no servía, se le cortaba el tráfico por no aceptar un certificado vencido. Funciona para renovar dejando el redireccionamiento si todavía no se te ha vencido creo yo.

Yo pensaba que hacía una conexión en un puerto diferente LetsEncrypt para validar que la IP corresponde al dominio, no sabía que usaba el propio http.

no era eso, el problema que tenia elite, es que cuando el programa buscaba la dirección, la buscaba como http://dominio.com/parametros y el redirect del servidor lo dejaba como https://dominio.com, sin los parámetros que servían al programa.

teóricamente no debería usar el http para certificar, supongo que es un error en el programa ACME, pero tristemente es el único para windows