Autor Tema: Renovar certificado SSL  (Leído 302 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Renovar certificado SSL
« on: Abril 08, 2022, 08:48:02 am »
Buenos días, estoy renovando el certificado SSL y cada vez que lo hago es un dolor de cabeza, hice varios tutoriales propios y cada vez me cambia algo, a lo que les consulto:

- Existe algún procedimiento para actualizar este certificado (estoy utilizando lets encrypt)

Actualmente estoy siguiendo el instructivo de instalación:

https://docs.google.com/document/d/1t-wkAjcWO0kuY357PagBm2ioX0jZK8963FgVmd4TkGg/edit#

Y los problemas que estoy teniendo son los siguientes:
Con este comando
keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -keysize 2048
Enter keystore password:

Me da este error:
keytool error: java.lang.Exception: Key pair not generated, alias <tomcat> already exists

Con este comando
root@wichi:/home/hmaidana# keytool -list -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -v -storepass "password" > key.check

Warning:
<tomcat> uses the SHA1withRSA signature algorithm which is considered a security risk. This algorithm will be disabled in a future update.
root@wichi:/home/hmaidana# keytool -certreq -alias tomcat -file request.csr -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -storepass "you_password"
root@wichi:/home/hmaidana# certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Performing the following challenges:
http-01 challenge for wichi.unraf.edu.ar
Cleaning up challenges
Problem binding to port 80: Could not bind to IPv4 or IPv6.

Si alguno me puede dar una mano, se lo agradecería.

Aprovecho para dejarles un gran saludo, aguardo sus respuestas!
« Última Modificación: Abril 20, 2022, 08:53:04 am por Hernán Maidana »

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #1 on: Abril 13, 2022, 10:34:42 am »
Buenos días, les cuento que ya pude subsanar estos errores y pude instalar el certificado, pero tengo el problema que no me levanta la URL, les paso:

Si ingreso a https://wichi.unraf.edu.ar/

Levanta el apache con certificado, sin problemas hasta acá.

Si ingreso a https://wichi.unraf.edu.ar:8443/pentaho/Login

No ingresa.

Me fijo en el estado del TOMCAT y el mismo está iniciado, incluso lo compruebo con la IP Pública y la URL http://170.78.75.7:8080/pentaho/Login

Levanta pero sin el SSL

También ingresa al http://wichi.unraf.edu.ar:8080/pentaho/Login

Me podrían indicar como solucionarlo?

Desde ya, muchas gracias, un gran saludo!
« Última Modificación: Abril 13, 2022, 10:41:01 am por Hernán Maidana »

sbaisi

  • Moderador Global
  • *****
  • Mensajes: 508
    • Ver Perfil
  • Institución: SIU
  • Nombre y apellido: Sabrina Baisi
  • Sistema: Wichi
  • Utilizo algun sistéma del SIU: Sí
Re:Renovar certificado SSL
« Respuesta #2 on: Abril 18, 2022, 10:39:39 am »
Hola Hernan! la vez pasada que habías tenido un problema similar, me comentaste que lo solucionaste abriendo algunos puertos. No sera eso?
Saludos,
Sabrina.

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #3 on: Abril 19, 2022, 10:43:20 am »
Hola Sabrina, gracias por responder, tengo todo tal cual lo había dejado y no me funciona, he podido instalar el SSL en el Apache, si ingresas, lo podes ver

https://wichi.unraf.edu.ar

El certificado está instalado y llego ok a Apache

No estoy logrando poder hacerlo funcionar

baby

  • Moderador Global
  • *****
  • Mensajes: 7
    • Ver Perfil
    • Email
  • Institución: SIU
  • Sistema: IT
Re:Renovar certificado SSL
« Respuesta #4 on: Abril 19, 2022, 01:05:00 pm »
Hola Hernán,

no tengo experiencia con el Wichi ni con el Tomcat, pero vamos a ver si te puedo dar una mano.

Ahora (martes 19 al mediodía) no veo el login del pentaho ni siquiera en el puerto 8080 (http://wichi.unraf.edu.ar:8080/pentaho/Login) ¿lo tenés apagado?

De las instrucciones que citaste ¿seguiste los pasos de la sección 6.2 Configurar certificado SSL?

En particular, el punto 3 - Configuración de las instrucciones para Let's Encrypt, donde dice las configuraciones a poner en /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml.
« Última Modificación: Abril 19, 2022, 01:07:23 pm por baby »

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #5 on: Abril 19, 2022, 02:12:59 pm »
Hola baby, gracias por la predisposición!

El link que me conecta es

http://170.78.75.7:8080/pentaho/Login

Raro que ahora no te funcione

Seguí todos los pasos de la sección 6.2 del instructivo, y me da los errores del primer mensaje del foro.

El punto 3 está todo agregado en los archivos.

baby

  • Moderador Global
  • *****
  • Mensajes: 7
    • Ver Perfil
    • Email
  • Institución: SIU
  • Sistema: IT
Re:Renovar certificado SSL
« Respuesta #6 on: Abril 19, 2022, 04:56:00 pm »
OK.

Ahora sí me responde (en el 8080) y se queda colgado (en el 8443).

Revisando los errores que ponés en el primer mensaje, el primero:
Código: [Seleccionar]
keytool error: java.lang.Exception: Key pair not generated, alias <tomcat> already exists
te dice que no pudo crear un par de claves pública/privada nuevo que se llame tomcat porque ya hay un par de claves con ese nombre (probablemente, porque lo creaste en un intento anterior, esto no es un problema).

Después hay un warning porque el algoritmo seleccionado es inseguro y te avisa que en un futuro se va a deshabilitar.

Después me parece que estás poniendo la clave del keystore acá en el foro, con lo cual deberías cambiarlo ya que esa clave sólo la deberías saber vos.

Finalmente, me parece que el error problemático es el del final:

Código: [Seleccionar]
root@wichi:/home/hmaidana# [code]certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Performing the following challenges:
http-01 challenge for wichi.unraf.edu.ar
Cleaning up challenges
Problem binding to port 80: Could not bind to IPv4 or IPv6.

Lo que me parece que pasa acá es que tenés el Apache prendido (en el port 80) con lo cual el certbot no puede escuchar en el port 80 (porque lo tiene el Apache) y, por lo tanto, no puede validar el challenge http.

Tendrías que volver a correr el comando
Código: [Seleccionar]
certbot certonly --csr ./request.csr --standalone pero con el apache apagado.
« Última Modificación: Abril 19, 2022, 04:58:11 pm por baby »

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #7 on: Abril 20, 2022, 10:01:41 am »
Hola baby, hice lo que me pasaste y tal cual salió todo ok, paré el apache y corrí todo esto, te paso:

root@wichi:/home/hmaidana# service apache2 stop
root@wichi:/home/hmaidana# certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Server issued certificate; certificate written to /home/hmaidana/0001_cert.pem
Cert chain written to 8
Cert chain written to 9

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /home/hmaidana/0003_chain.pem
   Your cert will expire on 2022-07-19. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

root@wichi:/home/hmaidana# keytool -import -trustcacerts -alias tomcat -file 0003_chain.pem -keystore /usr    /local/pentaho/biserver-ce/tomcat/.keystore -storepass "you_password"
Certificate reply was installed in keystore
root@wichi:/home/hmaidana# nano /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml
root@wichi:/home/hmaidana# nano /usr/local/pentaho/biserver-ce/tomcat/webapps/pentaho/WEB-INF/web.xml
root@wichi:/home/hmaidana# nano /usr/local/pentaho/biserver-ce/pentaho-solutions/system/server.properties
root@wichi:/home/hmaidana# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports 8080

Hasta acá todo tal cual está en el instructivo, cuando pruebo

https://wichi.unraf.edu.ar:8443/pentaho/Login

No levanta, por las dudas levanto el tomcat

root@wichi:/home/hmaidana# cd usr/local/pentaho/biserver-ce/
bash: cd: usr/local/pentaho/biserver-ce/: No such file or directory
root@wichi:/home/hmaidana# cd /usr/local/pentaho/biserver-ce/
root@wichi:/usr/local/pentaho/biserver-ce# sudo -u pentaho ./start-pentaho.sh                                 WARNING: Using java from path
DEBUG: _PENTAHO_JAVA_HOME=
DEBUG: _PENTAHO_JAVA=java
Using CATALINA_BASE:   /usr/local/pentaho/biserver-ce/tomcat
Using CATALINA_HOME:   /usr/local/pentaho/biserver-ce/tomcat
Using CATALINA_TMPDIR: /usr/local/pentaho/biserver-ce/tomcat/temp
Using JRE_HOME:        /usr
Using CLASSPATH:       /usr/local/pentaho/biserver-ce/tomcat/bin/bootstrap.jar:/usr/local/pentaho/biserver    -ce/tomcat/bin/tomcat-juli.jar
Tomcat started.

Y por las dudas vuelvo a tirar esta línea

root@wichi:/usr/local/pentaho/biserver-ce# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --t    o-ports 8080

Seguramente estamos más cerca, en qué le puedo estar errando?

baby

  • Moderador Global
  • *****
  • Mensajes: 7
    • Ver Perfil
    • Email
  • Institución: SIU
  • Sistema: IT
Re:Renovar certificado SSL
« Respuesta #8 on: Abril 20, 2022, 10:25:03 am »
Mmmmhhh

Estoy medio a ciegas (empezando porque no sé bien cómo funciona el tomcat).

De todos modos, la línea de iptables no la corras, porque creo que estás agregando reglas idénticas al firewall que, por otra parte, no están funcionando, pero por ahora sólo nos complican para ver las cosas.

Para ver cómo está el firewall ahora necesitaría ver la salida de este comando:
Código: [Seleccionar]
iptables -v -L
Además, ahí veo que editás archivos de configuración, pero no sé qué ponés.

Necesitaría ver el contenido de los archivos /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml, /usr/local/pentaho/biserver-ce/tomcat/webapps/pentaho/WEB-INF/web.xml y /usr/local/pentaho/biserver-ce/pentaho-solutions/system/server.properties (al menos lo que modificaste cuando los editaste).

Además hay que ver qué logs genera el tomcat. Supongo que debe haber archivos de log en /usr/local/pentaho/biserver-ce/tomcat/logs.

Mostrame la salida del siguiente comando:
Código: [Seleccionar]
ls -lart /usr/local/pentaho/biserver-ce/tomcat/logs

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #9 on: Abril 20, 2022, 10:55:23 am »
Te paso la salida de

iptables -v -L

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Decime como vuelvo para atrás la sentencia de iptables.

Por el tema de los archivos, te los adjunto comprimidos en archivos_wichi.rar

Y te paso la salida que me pedis en el archivos logs.txt






baby

  • Moderador Global
  • *****
  • Mensajes: 7
    • Ver Perfil
    • Email
  • Institución: SIU
  • Sistema: IT
Re:Renovar certificado SSL
« Respuesta #10 on: Abril 27, 2022, 11:15:10 am »
Perdón, el comando para ver lo de iptables es
Código: [Seleccionar]
sudo iptables -t nat -v -L

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #11 on: Abril 27, 2022, 11:18:07 am »
Te paso la salida

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                               
    0     0 REDIRECT   tcp  --  any    any     anywhere             anywhere                                                           tcp dpt:http redir ports 8080
    0     0 REDIRECT   tcp  --  any    any     anywhere             anywhere                                                           tcp dpt:http redir ports 8080

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                               

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                               

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination   

baby

  • Moderador Global
  • *****
  • Mensajes: 7
    • Ver Perfil
    • Email
  • Institución: SIU
  • Sistema: IT
Re:Renovar certificado SSL
« Respuesta #12 on: Abril 27, 2022, 11:41:27 am »
OK, para borrar las reglas agregadas al iptables tenés que tirar el siguiente comando

Código: [Seleccionar]
sudo iptables -D PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports 8080
Como la cargaste dos veces (esos dos renglones idénticos que ves en el Chain PREROUTING), tenés que correr el mismo comando dos veces (cada vez va a borrar una). Si lo corrés una tercera vez te debería tirar un error como este:

Código: [Seleccionar]
iptables: No chain/target/match by that name.
(que no es ningún problema... simplemente dice no puedo borrar una regla que no existe)

Hernán Maidana

  • Newbie
  • *
  • Mensajes: 21
    • Ver Perfil
  • Institución: Universidad Nacional de Rafaela
  • Nombre y apellido: Hernán Maidana
  • Sistema: Infraestructura
  • Teléfono laboral: 03492501155 Int 202
Re:Renovar certificado SSL
« Respuesta #13 on: Abril 27, 2022, 12:48:40 pm »
Perfecto, ya borré las 2 reglas, como prosigo?

Para comenzar de cero, querés que borre/desinstale/revoque el certificado instalado y siga el instructivo

https://docs.google.com/document/d/1t-wkAjcWO0kuY357PagBm2ioX0jZK8963FgVmd4TkGg/edit#

Arranco desde cero esto y vamos viendo los problemas que surgen?

O decime vos y yo te sigo.

Saludos

baby

  • Moderador Global
  • *****
  • Mensajes: 7
    • Ver Perfil
    • Email
  • Institución: SIU
  • Sistema: IT
Re:Renovar certificado SSL
« Respuesta #14 on: Abril 27, 2022, 04:37:08 pm »
No.

en http://wichi.unraf.edu.ar:8080/pentaho/Login está andando.

Yo ahora estoy en medio de 20 cosas y mañana tengo un día complicado. Haceme un  *ping* el viernes así reviso bien los archivos que me mandaste para ver de hacer andar https://wichi.unraf.edu.ar:8443/pentaho/Login y recién cuando eso ande armamos la redirección (ya sea con iptables o quizás con el apache).