Autor Tema: SIU-Pilaga - configurar el acceso https  (Leído 739 veces)

0 Usuarios y 1 Visitante están viendo este tema.

fderosa

  • Newbie
  • *
  • Mensajes: 2
    • Ver Perfil
    • Email
  • Institución: CGTIC-UBA
  • Nombre y apellido: Flavia De Rosa
  • Sistema: Pilaga
  • Teléfono laboral: 5285-6100 Int 56127/ 5285-6127
  • Utilizo algun sistéma del SIU: Sí
SIU-Pilaga - configurar el acceso https
« on: Noviembre 10, 2017, 01:58:49 pm »
Buenas tardes,
Ya son varias las dependencias que nos piden documentación de los pasos a seguir,  para pasar el sitio pilaga v3.0.3 con https, y no como "no es seguro", como actualmente figura.
Saludos,
Flavia De Rosa.

Lucas Martini

  • Administrador
  • *****
  • Mensajes: 1052
    • Ver Perfil
    • Email
  • Nombre y apellido: Lucas Martini
Re:SIU-Pilaga - configurar el acceso https
« Respuesta #1 on: Noviembre 21, 2017, 12:41:12 pm »
Hola Flavia
Como cualquier webserever. Hay que habilitar el modulo de SSL y cambiar el VirtualHost
Suponiendo que ya tenes el certificado firmado por la CA seria:
En el toba.conf
Código: [Seleccionar]
<VirtualHost *:443>
        ServerName url.com
        DocumentRoot /ruta/al/proyecto/
        SSLEngine on
        SSLCertificateFile /ruta/al/crt/cert.crt
        SSLCertificateKeyFile /ruta/al/key/cert.key
       #######################
       # RESTO DE CONFIG PILAGA
       #######################
</VirtualHost>
En el server
Código: [Seleccionar]

root@pilaga:~# a2enmod ssl
root@pilaga:~# service apache2 restart
Si no se entiende algo o tenes alguna duda particular avisame y lo vemos.
Saludos!
« Última Modificación: Noviembre 24, 2017, 09:52:04 am por lmartini »

efernandez

  • General
  • *
  • Mensajes: 19
    • Ver Perfil
    • Email
  • Institución: UNCo
  • Nombre y apellido: Elisa Fernandez
  • Sistema: Diaguita - Pilaga
  • Teléfono laboral: 0299 4490300 int. 317
  • Utilizo algun sistéma del SIU: Sí
Re:SIU-Pilaga - configurar el acceso https
« Respuesta #2 on: Noviembre 24, 2017, 09:40:36 am »
Buen día,

para que en https no muestre el mensaje de sitio no seguro se pueden obtener certificados de distintas maneras como las que figuran en https://letsencrypt.org/docs/client-options/

Let’s Encrypt es una Autoridad Certificadora (CA) libre y gratuita, que permite acceder a certificados mediante un servicio que provee el ISRG (Internet Security Research Group).

Los certificados generados por Let's Ecrypt deben actualizarse cada 3 meses, la forma que uso generalmente es sslforfree, ya que se realiza de forma manual desde el navegador y no obliga a actualizar programas del sistema operativo como python, como cuando se usa certboot... la ventaja de utilizar cerboot es que renueva los certificados automáticamente si se coloca el script en cron. Es cuestión de experimentar y quedarse con la manera que mas le conviene a cada uno.

pasos que utilizo para generar certificados con ssl for free:
1) ingresar a https://www.sslforfree.com/
2) agregar el nombre del sitio en el campo correspondiente por ejemplo pilaga.universidad.edu.ar
3) click en “create Free SSL Certificate”
4) click en "Manual Verification", click en "Manually Verify Domain" ...(este paso verifica que sea un dominio válido) descargar el archivo verificador del sitio (es un archivo de texto que tiene un nombre alfanumérico y su contenido es lo mismo que el nombre) que se copia en unas determinadas carpetas que hay que crear en los pasos siguientes
5) en el directorio del sitio (en el DocumenRoot especificado en toba.conf) crear el directorio .well-known (con punto al principio del nombre), dentro de ese directorio crear el directorio acme-challenge. En ese directorio copiar el archivo descargado, por ejemplo quedaría así /var/www/SIU-Pilaga/www/.well-known/acme-challenge/aLCB2SN61r6gFl6C2s2RBVUtIE7iLwGM3LODg
6) en el navegador ir a link especificado, por ejemplo: pilaga.universidad.edu.ar/nombre_archivo_alfanumerico para verificar que el sitio funciona... luego genera los certificados
7) descargar los archivos .key y .crt  ...copiarlos en la ruta que se especifica en el .conf de apache, es decir la ruta que se especifica en el parámetro SSLCertificateFile.
Listo. Todos esos pasos los va detallando en el proceso, está en inglés.
Se puede crear una cuenta y administrar los certificados para distintos sitios y avisa por mail cuando van a caducar. Hay que renovar antes que caduque porque si un usuario ingresa al sitio y esta vencido el certificado habrá que borrar el certificado que almacena el navegador del usuario, sino se borra desde el navegador no podrá acceder al pilaga.

Se ve largo el proceso pero no es difícil. Cualquier duda comentame...Saludos!

fderosa

  • Newbie
  • *
  • Mensajes: 2
    • Ver Perfil
    • Email
  • Institución: CGTIC-UBA
  • Nombre y apellido: Flavia De Rosa
  • Sistema: Pilaga
  • Teléfono laboral: 5285-6100 Int 56127/ 5285-6127
  • Utilizo algun sistéma del SIU: Sí
Re:SIU-Pilaga - configurar el acceso https
« Respuesta #3 on: Noviembre 24, 2017, 10:30:54 am »
Buenos días, lmartini:
Esta configuración puede funcionar, aunque se tenga el link símbolo del archivo toba.conf, en  /../etc/apache2/sites-enables/SIU-Pilaga.conf ?.
Saludos, Flavia De Rosa.

Lucas Martini

  • Administrador
  • *****
  • Mensajes: 1052
    • Ver Perfil
    • Email
  • Nombre y apellido: Lucas Martini
Re:SIU-Pilaga - configurar el acceso https
« Respuesta #4 on: Noviembre 24, 2017, 11:23:21 am »
Si, no hay problema.
El link simbólico no es mas que un "acceso directo."
Editar SIU-Pilaga.conf o editar el toba.conf es indistinto.