SSL en IBM Http Server

Una vez instalado IHS debemos de utilizar la herramienta Ikeyman para crearnos una base de datos que recogera la configuracion de los certificados y con la que podremos emitirlos. Nosotros vamos a exportar las X y usar Ikeyman de modo grafico, aunque tambien se puede hacer por comandos directamente.

export DISPLAY=192.168.0.33:0.0

/opt/IHS6/bin/ikeyman

Aqui crearemos una BBDD de tipo CMS:

11

y creamos una peticion de certificado:

2

El fichero generado “.arm”, lo editamos y sacamos su contenido.

Vamos a la web de verisign y nos registramos pidiendo una prueba (Pulsar en Free SSL Trial) para firmar nuestro certificado con la CA “Test” de Verisign.

En la web se nos pedira que peguemos el contenido de nuestro request que hemos guardado en el fichero con extension .arm

A continuacion nos pedira una clave de paso que se usara para abrir dicho certificado firmado. Al final se nos enviara un correo con la informacion para descargarse los cerfificados de las CA’s de Verisign Test y el contenido de nuestro certificado firmado.

Debemos descargarnos (copiar y pegar) el contenido de los certificados de las CA’s de Verisign Test que son dos: Una CA raiz y otra intermedia. Al final del arbol de estas dos CA’s estara nuestro certificado:

  • Test Root CA Certificate.cer
  • Trial SSL Intermediate CA certificate.cer
  • linux.dominio.com.cer

Este ultimo fichero lo creamos vacio y copiamos el contenido de nuestro certificado firmado que ha sido enviado por correo. Si lo ejecutamos podemos ver el arbol de las entidades emisoras (las CA’s de Verisign Test).

Los tres ficheros los debemos de importar desde la herramienta de Ikeyman, subiendolos primero al servidor. En la pestaña desplegable de Signer Certificates importamos los dos certificados, pimero el raiz y luego el intermedio. En la pestaña de Personal Certificates importamos el cerfificado linux.dominio.com.cer el cual contiene la clave publica y privada que usara nuestro servidor y sitio web.

Ahora ya podemos modificar nuestro fichero de configuracion del IHS (httpd.conf) poniendo algo así:

LoadModule  ibm_ssl_module   modules/mod_ibm_ssl.so
Listen 443

<VirtualHost linux.dominio.com:443>
ServerName  linux.dominio.com
DocumentRoot /opt/IHS6/htdocs/en_US
SSLEnable
#SSLClientAuth  required
</VirtualHost>

SSLDisable
Keyfile /opt/IHS6/bin/key.kdb
SSLStashFile /opt/IHS6/bin/key.sth

y ejecutamos tal cual para arrancar:

/opt/IHS6/bin/apachectl -k start -f /opt/IHS6/conf/httpd.conf

Comprobamos con ps y netstat que esta corriendo el apache de IHS.

Hecho esto debemos de instalarnos los certificados root e intermedio de la CA Test en el navegador. Y finalmente accedemos al sitio web:

http://linux.dominio.com

donde nos pedira (si es la primera vez) que instalemos el certificado de servidor:

3

Si queremos permitir el acceso unicamente a los usuarios que dispongan de un certificado valido de autenticacion de cliente debemos de modificar un par de cosas:

Primero en el fichero de configuracion debemos de descomentar la linea:

SSLClientAuth  required

y despues exportar la clave del certificado personal desde Ikeyman. la exportamos como PKCS12:

4

Este certificado es el que debemos de instalar en nuestro navegador para que cuando accedamos al sitio web nos lo pida. Este certificado contendra la clave publica y privada que autentica con la del servidor.

Etiquetas: , , ,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: