Buenos días, estoy renovando el certificado SSL y cada vez que lo hago es un dolor de cabeza, hice varios tutoriales propios y cada vez me cambia algo, a lo que les consulto:
Existe algún procedimiento para actualizar este certificado (estoy utilizando lets encrypt)
Actualmente estoy siguiendo el instructivo de instalación:
Y los problemas que estoy teniendo son los siguientes:
Con este comando
keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -keysize 2048
Enter keystore password:
Me da este error:
keytool error: java.lang.Exception: Key pair not generated, alias already exists
Con este comando
root@wichi:/home/hmaidana# keytool -list -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -v -storepass “password” > key.check
Warning:
uses the SHA1withRSA signature algorithm which is considered a security risk. This algorithm will be disabled in a future update.
root@wichi:/home/hmaidana# keytool -certreq -alias tomcat -file request.csr -keystore /usr/local/pentaho/biserver-ce/tomcat/.keystore -storepass “you_password”
root@wichi:/home/hmaidana# certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Performing the following challenges:
http-01 challenge for wichi.unraf.edu.ar
Cleaning up challenges
Problem binding to port 80: Could not bind to IPv4 or IPv6.
Si alguno me puede dar una mano, se lo agradecería.
Aprovecho para dejarles un gran saludo, aguardo sus respuestas!
Hola Hernan! la vez pasada que habías tenido un problema similar, me comentaste que lo solucionaste abriendo algunos puertos. No sera eso?
Saludos,
Sabrina.
Hola Sabrina, gracias por responder, tengo todo tal cual lo había dejado y no me funciona, he podido instalar el SSL en el Apache, si ingresas, lo podes ver
En particular, el punto 3 - Configuración de las instrucciones para Let’s Encrypt, donde dice las configuraciones a poner en /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml.
Ahora sí me responde (en el 8080) y se queda colgado (en el 8443).
Revisando los errores que ponés en el primer mensaje, el primero:
keytool error: java.lang.Exception: Key pair not generated, alias <tomcat> already exists
te dice que no pudo crear un par de claves pública/privada nuevo que se llame tomcat porque ya hay un par de claves con ese nombre (probablemente, porque lo creaste en un intento anterior, esto no es un problema).
Después hay un warning porque el algoritmo seleccionado es inseguro y te avisa que en un futuro se va a deshabilitar.
Después me parece que estás poniendo la clave del keystore acá en el foro, con lo cual deberías cambiarlo ya que esa clave sólo la deberías saber vos.
Finalmente, me parece que el error problemático es el del final:
root@wichi:/home/hmaidana#
certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Performing the following challenges:
http-01 challenge for wichi.unraf.edu.ar
Cleaning up challenges
Problem binding to port 80: Could not bind to IPv4 or IPv6.
Lo que me parece que pasa acá es que tenés el Apache prendido (en el port 80) con lo cual el certbot no puede escuchar en el port 80 (porque lo tiene el Apache) y, por lo tanto, no puede validar el challenge http.
Tendrías que volver a correr el comando
Hola baby, hice lo que me pasaste y tal cual salió todo ok, paré el apache y corrí todo esto, te paso:
root@wichi:/home/hmaidana# service apache2 stop
root@wichi:/home/hmaidana# certbot certonly --csr ./request.csr --standalone
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Server issued certificate; certificate written to /home/hmaidana/0001_cert.pem
Cert chain written to 8
Cert chain written to 9
IMPORTANT NOTES:
Congratulations! Your certificate and chain have been saved at:
/home/hmaidana/0003_chain.pem
Your cert will expire on 2022-07-19. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew all of your certificates, run
“certbot renew”
If you like Certbot, please consider supporting our work by:
root@wichi:/home/hmaidana# cd usr/local/pentaho/biserver-ce/
bash: cd: usr/local/pentaho/biserver-ce/: No such file or directory
root@wichi:/home/hmaidana# cd /usr/local/pentaho/biserver-ce/
root@wichi:/usr/local/pentaho/biserver-ce# sudo -u pentaho ./start-pentaho.sh WARNING: Using java from path
DEBUG: _PENTAHO_JAVA_HOME=
DEBUG: _PENTAHO_JAVA=java
Using CATALINA_BASE: /usr/local/pentaho/biserver-ce/tomcat
Using CATALINA_HOME: /usr/local/pentaho/biserver-ce/tomcat
Using CATALINA_TMPDIR: /usr/local/pentaho/biserver-ce/tomcat/temp
Using JRE_HOME: /usr
Using CLASSPATH: /usr/local/pentaho/biserver-ce/tomcat/bin/bootstrap.jar:/usr/local/pentaho/biserver -ce/tomcat/bin/tomcat-juli.jar
Tomcat started.
Estoy medio a ciegas (empezando porque no sé bien cómo funciona el tomcat).
De todos modos, la línea de iptables no la corras, porque creo que estás agregando reglas idénticas al firewall que, por otra parte, no están funcionando, pero por ahora sólo nos complican para ver las cosas.
Para ver cómo está el firewall ahora necesitaría ver la salida de este comando:
iptables -v -L
Además, ahí veo que editás archivos de configuración, pero no sé qué ponés.
Necesitaría ver el contenido de los archivos /usr/local/pentaho/biserver-ce/tomcat/conf/server.xml, /usr/local/pentaho/biserver-ce/tomcat/webapps/pentaho/WEB-INF/web.xml y /usr/local/pentaho/biserver-ce/pentaho-solutions/system/server.properties (al menos lo que modificaste cuando los editaste).
Además hay que ver qué logs genera el tomcat. Supongo que debe haber archivos de log en /usr/local/pentaho/biserver-ce/tomcat/logs.
Mostrame la salida del siguiente comando:
ls -lart /usr/local/pentaho/biserver-ce/tomcat/logs
Como la cargaste dos veces (esos dos renglones idénticos que ves en el Chain PREROUTING), tenés que correr el mismo comando dos veces (cada vez va a borrar una). Si lo corrés una tercera vez te debería tirar un error como este:
iptables: No chain/target/match by that name.
(que no es ningún problema… simplemente dice no puedo borrar una regla que no existe)
Yo ahora estoy en medio de 20 cosas y mañana tengo un día complicado. Haceme un ping el viernes así reviso bien los archivos que me mandaste para ver de hacer andar https://wichi.unraf.edu.ar:8443/pentaho/Login y recién cuando eso ande armamos la redirección (ya sea con iptables o quizás con el apache).