Enviado por juanonlab el Mar, 12/03/2019 - 11:09
Certificado ssl nginx

Hace unos días renové mi certificado ssl con la empresa comodo. Al ver en el navegador el tiempo de caducidad del mismo he observado que ha cambiado el nombre de la empresa y ahora se llama Sectigo. En la web de Sectigo se puede comprobar el cambio.

La renovación de un certificado no tiene gran complicación pero hay que tener en cuenta algunos sencillos pasos.

  • Pedir la renovación con antelación suficiente desde tu proveedor de certificados
  • Recibir la confirmación con los nuevos certificados
  • Unir en un único fichero el bundle y el fichero crt que habrás recibido.
  • Guardar el fichero generado en la carpeta donde nginx guarda los certificados
  • Reiniciar el servidor nginx

En mi site los certificados se encuentran en la carpeta:

 /etc/nginx/ssl

Una vez que se ha recibido la confirmación de tu renovación recibirás en un archivo zip con una serie de certificados.El fichero tiene la siguiente estructura:

Certificados

Los ficheros señalados se deben unir en un único fichero bundle.crt. Desde linux los he concatenado con:

cat juanonlab_com.crt juanonlab_com.ca-bundle > ssl-bundle.crt

El fichero generado es ssl-bundle.crt. Tuve que realizar una pequeña modificación a la concatenación de ficheros. En el punto en el que se unen había que añadir un retorno de carro. Si intentaba reiniciar nginx me mostraba un error en el certificado.

Antes del cambio:

MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgF/CLzACw/+kKjozO2PqGa
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgF/CLzACw/+kKjozO2PqGaDyr7Zl

Después del cambio:

MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgF/CLzACw/+kKjozO2PqGaDyr7Zl
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgF/CLzACw/+kKjozO2PqGaDyr7Zl

Una vez arreglado este problemilla el certificado funcionará sin problemas. Después de instalar los certificados hay que reiniciar nginx.

systemctl restart nginx
validez certificado

Nginx dispone de una buena documentación que explica como preparar el servidor para el tráfico ssl. Ayuda en nginx.

Os dejo el template que utilizo para el servidor nginx.

Sólo he modificado el fichero ssl-bundle.crt. El fichero juanonlab_com.key es mi clave privada que obtuve la primera vez que generé el certificado y no es necesario modificarlo. Renovar un certificado sencillo como el mio no debería ser complicado aunque a veces se olvidan que ficheros y en que orden debes concatenarlos :-P.

La instalación de un nuevo certificado es un poco más compleja ya que debes validar la autenticidad de tu site mediante la instalación de un fichero que te provee la autoridad de certificación, obtener la clave privada (dejándola alojada en tu servidor) y repetir los pasos que he comentado al inicio del post.

 

Añadir nuevo comentario