Renovar certificado SSL

Buenos días, estoy renovando el certificado SSL y cada vez que lo hago es un dolor de cabeza, hice varios tutoriales propios y cada vez me cambia algo, a lo que les consulto:

  • Existe algún procedimiento para actualizar este certificado (estoy utilizando lets encrypt)

Actualmente estoy siguiendo el instructivo de instalación:

https://docs.google.com/document/d/1t-wkAjcWO0kuY357PagBm2ioX0jZK8963FgVmd4TkGg/edit#

Y los problemas que estoy teniendo son los siguientes:
Con este comando
keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -keysize 2048
Enter keystore password:

Me da este error:
keytool error: java.lang.Exception: Key pair not generated, alias already exists

Con este comando
root@wichi:/home/hmaidana# keytool -list -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -v -storepass “password” > key.check

Warning:
uses the SHA1withRSA signature algorithm which is considered a security risk. This algorithm will be disabled in a future update.
root@wichi:/home/hmaidana# keytool -certreq -alias tomcat -file request.csr -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -storepass “you_password”
root@wichi:/home/hmaidana# certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Performing the following challenges:
http-01 challenge for wichi.unraf.edu.ar
Cleaning up challenges
Problem binding to port 80: Could not bind to IPv4 or IPv6.

Si alguno me puede dar una mano, se lo agradecería.

Aprovecho para dejarles un gran saludo, aguardo sus respuestas!

Buenos días, les cuento que ya pude subsanar estos errores y pude instalar el certificado, pero tengo el problema que no me levanta la URL, les paso:

Si ingreso a https://wichi.unraf.edu.ar/

Levanta el apache con certificado, sin problemas hasta acá.

Si ingreso a https://wichi.unraf.edu.ar:8443/pentaho/Login

No ingresa.

Me fijo en el estado del TOMCAT y el mismo está iniciado, incluso lo compruebo con la IP Pública y la URL http://170.78.75.7:8080/pentaho/Login

Levanta pero sin el SSL

También ingresa al http://wichi.unraf.edu.ar:8080/pentaho/Login

Me podrían indicar como solucionarlo?

Desde ya, muchas gracias, un gran saludo!

Hola Hernan! la vez pasada que habías tenido un problema similar, me comentaste que lo solucionaste abriendo algunos puertos. No sera eso?
Saludos,
Sabrina.

Hola Sabrina, gracias por responder, tengo todo tal cual lo había dejado y no me funciona, he podido instalar el SSL en el Apache, si ingresas, lo podes ver

https://wichi.unraf.edu.ar

El certificado está instalado y llego ok a Apache

No estoy logrando poder hacerlo funcionar

Hola Hernán,

no tengo experiencia con el Wichi ni con el Tomcat, pero vamos a ver si te puedo dar una mano.

Ahora (martes 19 al mediodía) no veo el login del pentaho ni siquiera en el puerto 8080 (http://wichi.unraf.edu.ar:8080/pentaho/Login) ¿lo tenés apagado?

De las instrucciones que citaste ¿seguiste los pasos de la sección 6.2 Configurar certificado SSL?

En particular, el punto 3 - Configuración de las instrucciones para Let’s Encrypt, donde dice las configuraciones a poner en /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml.

Hola baby, gracias por la predisposición!

El link que me conecta es

http://170.78.75.7:8080/pentaho/Login

Raro que ahora no te funcione

Seguí todos los pasos de la sección 6.2 del instructivo, y me da los errores del primer mensaje del foro.

El punto 3 está todo agregado en los archivos.

OK.

Ahora sí me responde (en el 8080) y se queda colgado (en el 8443).

Revisando los errores que ponés en el primer mensaje, el primero:


keytool error: java.lang.Exception: Key pair not generated, alias <tomcat> already exists

te dice que no pudo crear un par de claves pública/privada nuevo que se llame tomcat porque ya hay un par de claves con ese nombre (probablemente, porque lo creaste en un intento anterior, esto no es un problema).

Después hay un warning porque el algoritmo seleccionado es inseguro y te avisa que en un futuro se va a deshabilitar.

Después me parece que estás poniendo la clave del keystore acá en el foro, con lo cual deberías cambiarlo ya que esa clave sólo la deberías saber vos.

Finalmente, me parece que el error problemático es el del final:


root@wichi:/home/hmaidana# 

certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Performing the following challenges:
http-01 challenge for wichi.unraf.edu.ar
Cleaning up challenges
Problem binding to port 80: Could not bind to IPv4 or IPv6.



Lo que me parece que pasa acá es que tenés el Apache prendido (en el port 80) con lo cual el certbot no puede escuchar en el port 80 (porque lo tiene el Apache) y, por lo tanto, no puede validar el challenge http.

Tendrías que volver a correr el comando 

certbot certonly --csr ./request.csr --standalone

 pero con el apache apagado.

Hola baby, hice lo que me pasaste y tal cual salió todo ok, paré el apache y corrí todo esto, te paso:

root@wichi:/home/hmaidana# service apache2 stop
root@wichi:/home/hmaidana# certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Server issued certificate; certificate written to /home/hmaidana/0001_cert.pem
Cert chain written to 8
Cert chain written to 9

IMPORTANT NOTES:

  • Congratulations! Your certificate and chain have been saved at:
    /home/hmaidana/0003_chain.pem
    Your cert will expire on 2022-07-19. To obtain a new or tweaked
    version of this certificate in the future, simply run certbot
    again. To non-interactively renew all of your certificates, run
    “certbot renew”

  • If you like Certbot, please consider supporting our work by:

    Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
    Donating to EFF: https://eff.org/donate-le

root@wichi:/home/hmaidana# keytool -import -trustcacerts -alias tomcat -file 0003_chain.pem -keystore /usr /local/pentaho/biserver-ce/tomcat/.keystore -storepass “you_password”
Certificate reply was installed in keystore
root@wichi:/home/hmaidana# nano /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml
root@wichi:/home/hmaidana# nano /usr/local/pentaho/biserver-ce/tomcat/webapps/pentaho/WEB-INF/web.xml
root@wichi:/home/hmaidana# nano /usr/local/pentaho/biserver-ce/pentaho-solutions/system/server.properties
root@wichi:/home/hmaidana# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports 8080

Hasta acá todo tal cual está en el instructivo, cuando pruebo

https://wichi.unraf.edu.ar:8443/pentaho/Login

No levanta, por las dudas levanto el tomcat

root@wichi:/home/hmaidana# cd usr/local/pentaho/biserver-ce/
bash: cd: usr/local/pentaho/biserver-ce/: No such file or directory
root@wichi:/home/hmaidana# cd /usr/local/pentaho/biserver-ce/
root@wichi:/usr/local/pentaho/biserver-ce# sudo -u pentaho ./start-pentaho.sh WARNING: Using java from path
DEBUG: _PENTAHO_JAVA_HOME=
DEBUG: _PENTAHO_JAVA=java
Using CATALINA_BASE: /usr/local/pentaho/biserver-ce/tomcat
Using CATALINA_HOME: /usr/local/pentaho/biserver-ce/tomcat
Using CATALINA_TMPDIR: /usr/local/pentaho/biserver-ce/tomcat/temp
Using JRE_HOME: /usr
Using CLASSPATH: /usr/local/pentaho/biserver-ce/tomcat/bin/bootstrap.jar:/usr/local/pentaho/biserver -ce/tomcat/bin/tomcat-juli.jar
Tomcat started.

Y por las dudas vuelvo a tirar esta línea

root@wichi:/usr/local/pentaho/biserver-ce# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --t o-ports 8080

Seguramente estamos más cerca, en qué le puedo estar errando?

Mmmmhhh

Estoy medio a ciegas (empezando porque no sé bien cómo funciona el tomcat).

De todos modos, la línea de iptables no la corras, porque creo que estás agregando reglas idénticas al firewall que, por otra parte, no están funcionando, pero por ahora sólo nos complican para ver las cosas.

Para ver cómo está el firewall ahora necesitaría ver la salida de este comando:

iptables -v -L

Además, ahí veo que editás archivos de configuración, pero no sé qué ponés.

Necesitaría ver el contenido de los archivos /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml, /usr/local/pentaho/biserver-ce/tomcat/webapps/pentaho/WEB-INF/web.xml y /usr/local/pentaho/biserver-ce/pentaho-solutions/system/server.properties (al menos lo que modificaste cuando los editaste).

Además hay que ver qué logs genera el tomcat. Supongo que debe haber archivos de log en /usr/local/pentaho/biserver-ce/tomcat/logs.

Mostrame la salida del siguiente comando:

ls -lart /usr/local/pentaho/biserver-ce/tomcat/logs

Te paso la salida de

iptables -v -L

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Decime como vuelvo para atrás la sentencia de iptables.

Por el tema de los archivos, te los adjunto comprimidos en archivos_wichi.rar

Y te paso la salida que me pedis en el archivos logs.txt


logs.txt (37 KB)

archivos_wichi.rar (6.77 KB)

Perdón, el comando para ver lo de iptables es


sudo iptables -t nat -v -L

Te paso la salida

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp – any any anywhere anywhere tcp dpt:http redir ports 8080
0 0 REDIRECT tcp – any any anywhere anywhere tcp dpt:http redir ports 8080

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

OK, para borrar las reglas agregadas al iptables tenés que tirar el siguiente comando

sudo iptables -D PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports 8080

Como la cargaste dos veces (esos dos renglones idénticos que ves en el Chain PREROUTING), tenés que correr el mismo comando dos veces (cada vez va a borrar una). Si lo corrés una tercera vez te debería tirar un error como este:

iptables: No chain/target/match by that name.

(que no es ningún problema… simplemente dice no puedo borrar una regla que no existe)

Perfecto, ya borré las 2 reglas, como prosigo?

Para comenzar de cero, querés que borre/desinstale/revoque el certificado instalado y siga el instructivo

https://docs.google.com/document/d/1t-wkAjcWO0kuY357PagBm2ioX0jZK8963FgVmd4TkGg/edit#

Arranco desde cero esto y vamos viendo los problemas que surgen?

O decime vos y yo te sigo.

Saludos

No.

en http://wichi.unraf.edu.ar:8080/pentaho/Login está andando.

Yo ahora estoy en medio de 20 cosas y mañana tengo un día complicado. Haceme un ping el viernes así reviso bien los archivos que me mandaste para ver de hacer andar https://wichi.unraf.edu.ar:8443/pentaho/Login y recién cuando eso ande armamos la redirección (ya sea con iptables o quizás con el apache).

Una pregunta ¿hay un firewall externo que esté mandando la IP pública 170.78.75.7 al servidor? Hay que ver cómo está configurado eso.

¿El apache que vi el otro día lo tenés apagado? No me está respondiendo el port 80 ni el 443

Estamos en una nube, es la IP pública de la VM, esto estaba todo funcionando, se complicó a la hora de renovarlo.

La URL es http://wichi.unraf.edu.ar:8080

El apache está apagado

Saludos