Configurar el cifrado SSL
Si desea cifrar la comunicación entre MobileTogether Server y las aplicaciones MobileTogether Client con el protocolo SSL, será necesario:
•Generar una clave privada SSL y crear un archivo de certificado de clave pública SSL.
•Configurar MobileTogether Server para la comunicación con cifrado SSL.
A continuación encontrará instrucciones para hacerlo.
MobileTogether utiliza el kit de herramientas OpenSSL de código abierto para gestionar el cifrado SSL. Por tanto, los pasos que se describen en las instrucciones sólo funcionarán en equipos con OpenSSL. Por lo general, OpenSSL viene preinstalado en la mayoría de las versiones de Linux y en los equipos de macOS. También puede instalar OpenSSL en equipos de Windows. En la wiki de OpenSSL encontrará enlaces para descargar los binarios de instalación.
SSL requiere tener instalada una clave privada en MobileTogether Server. Esta clave privada se utilizará para cifrar todos los datos que se envíen a las aplicaciones MobileTogether Client. Para crear la clave privada utilice este comando de OpenSSL: openssl genrsa -out private.key 2048
Esto crea un archivo llamado private.key, que contiene la clave privada. Es importante recordar dónde guarda ese archivo. Recuerde dónde guarda el archivo porque lo necesitará para: (i) generar la solicitud de firma de certificado (CSR) (ver el paso n°2 más abajo) y (ii) instalarlo en MobileTogether Server (ver el paso n°8 más abajo).
|
2.Solicitudes de firma de certificado (CSR)
La Petición de firma de Certificado (CSR) se envía a una autoridad de certificación (CA), como DigiCert o Thawte, para solicitar un certificado de clave pública. La CSR se basa en su clave privada (obtenida en el paso n°1 más arriba) y contiene información sobre su organización. Cree una CSR con este comando de OpenSSL (que suministra como uno de sus parámetros el archivo de clave privada, private.key, que se creó en el primer paso): openssl req -new -nodes -key private.key -out my.csr
Durante la generación de la CSR deberá indicar datos sobre su compañía. Esta información la usará la autoridad de certificación para confirmar la identidad de su empresa.
•País •Localidad (ciudad donde está situada su empresa) •Organización (el nombre de su empresa) No utilice caracteres especiales porque el certificado no será válido. •Nombre común (el nombre DNS de su servidor) Debe ser idéntico al nombre oficial de su servidor (es decir, debe ser el nombre DNS que utilizarán las aplicaciones cliente para conectarse al servidor. •Una contraseña de comprobación. Deje este campo vacío.
|
Compre un certificado SSL de una autoridad de certificación (CA) reconocida, como son DigiCert o Thawte. Para el resto del procedimiento, siga los pasos que le indique DigiCert. El proceso con otras CA es parecido.
•Vaya al sitio web de DigiCert. •Comprar un certificado SSL Existen distintos tipos de certificados SSL que puede comprar. Para MobileTogether Server es suficiente un certificado Basic SSL o Secure Site SSL. Como no existe una barra de dirección verde en MobileTogether Server, no será necesaria una comprobación extendida (EV). •Siga el procedimiento de registro y rellene la información necesaria para la compra. •Cuando se le pida la CSR (creada en el paso n°2), copie y pegue el contenido del archivo my.csr en el formulario del pedido. •Efectúe el pago con una tarjeta de crédito válida.
|
4.Recibir la clave pública de la entidad de certificación
La autoridad de certificación completará el proceso de inscripción en uno a tres días laborables. Durante este tiempo puede que reciba algún correo electrónico o alguna llamada para comprobar que está autorizado para solicitar un certificado SSL para su dominio DNS. Colabore con la autoridad para completar el proceso.
Una vez completado el proceso de registro y autorización, recibirá un correo electrónico con la clave pública de su certificado SSL. La clave pública estará en texto simple o adjunta como archivo .pem o .cer.
|
5.Guardar la clave pública en un archivo
Para poder usarla con MobileTogether Server la clave pública debe estar guardada en un archivo .pem. Si la clave pública se suministró como texto, copie y pegue todas las líneas entre estas dos:
--BEGIN CERTIFICATE-- ... --END CERTIFICATE--
en un archivo de texto al que llamaremos mycertificate.pem.
|
6.Guardar certificado(s) intermedio(s) de la autoridad de certificación en un archivo
Para completar el certificado SSL necesitará otros dos certificados: el certificado intermedio principal y el certificado intermedio secundario. En el sitio web de su autoridad de certificación encontrará o el contenido de los certificados intermedios o la posibilidad de descargarlos. En algunos casos puede que haya sólo un certificado intermedio. En caso de que tenga la oportunidad de elegir el formato del archivo, es preferible elegir el formato .pem, que es un formato con codificación Base64.
Copie y peque los dos certificados intermedios (primario y secundario) en dos archivos de texto distintos y guárdelos en su equipo. Sin embargo, si sólo tiene un certificado intermedio, guárdelo en un único archivo.
|
7.Combinar los certificados en un solo archivo de certificado de clave pública
Ahora cuenta con tres archivos de certificado:
•La clave pública (mycertificate.pem), creada en el paso n°5. •El certificado intermedio secundario, obtenido en el paso n°6. •El certificado intermedio principal, obtenido en el paso n°6.
Nota: También es posible que sólo tenga un archivo de certificados intermedios.
Todos los archivos contienen bloques de texto entre líneas similares a estas: --BEGIN CERTIFICATE-- ... --END CERTIFICATE--
Ahora copie y pegue los tres (o dos) certificados en un solo archivo, uno detrás del otro. El orden de aparición es importante: (i) primero la clave pública, (ii) después el certificado intermedio secundario y (iii) por último el certificado intermedio principal. Compruebe que no hay líneas vacías entre un certificado y el siguiente. --BEGIN CERTIFICATE-- clave pública de mycertificate.pem (paso n°5) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificado intermedio secundario (paso nº6) --END CERTIFICATE-- --BEGIN CERTIFICATE-- certificado intermedio principal (paso nº6) --END CERTIFICATE--
Guarde el texto resultante en un archivo llamado publickey.pem. Este ya es el certificado de clave pública de su certificado SSL. Incluye el certificado de clave pública y la cadena de confianza (es decir, los certificados intermedios utilizados por la entidad de certificación para firmar el certificado). El archivo de certificado de clave pública se instalará en el servidor MobileTogether Server junto con la clave privada (ver paso nº8).
|
8.Instalar el certificado SSL en MobileTogether Server
El certificado SSL es un conjunto de certificados compuesto por estos archivos:
•private.key: contiene el certificado de clave privada •publickey.pem: contiene el certificado de clave pública y los certificados intermedios de la entidad de certificación (ver paso n°7)
Siga estas instrucciones para instalar estos certificados SSL en MobileTogether Server:
•Inicie sesión en la interfaz web de MobileTogether Server (puerto 8085 del servidor). •Abra la pestaña Opciones. •En la sección Certificados SSL (imagen siguiente), cargue los dos archivos de certificados. οPara la clave privada, seleccione private.key (creada en el paso n°1) οPara el certificado, seleccione publickey.pem (creado en el paso n°7)
•Haga clic en el botón Guardar situado al final de la sección Configuración general.
|
9.Configurar el puerto HTTPS del servidor
Tras instalar el certificado SSL podrá especificar un puerto del servidor para la comunicación SSL con los clientes. Para ello siga estos pasos:
•Inicie sesión en la interfaz web de MobileTogether Server (puerto 8085 del servidor). •Abra la pestaña Opciones. •En la sección Puertos de clientes móviles (imagen siguiente) habilite e indique cuál es el puerto HTTPS. Asegúrese de que el servidor de seguridad, si se utiliza, esté configurado para permitir el acceso a MobileTogether Server por el puerto HTTPS.
|
Ahora puede utilizar cualquier herramienta de prueba SSL para comprobar si la comunicación segura con su servidor a través de HTTPS funciona correctamente. Esta herramienta comprueba y confirma si: (i) el certificado de calve pública se construyó correctamente con la cadena de confianza y si (ii) se puede establecer la conexión con el servidor a través del servidor de seguridad.
|
11.Habilitar las aplicaciones MobileTogether Client para usar SSL
En las aplicaciones MobileTogether Client que se comuniquen con servidores MobileTogether Server que tengan habilitado el cifrado SSL, debe marcar la casilla Cifrado SSL. Para más información sobre cómo encontrar esta casilla, consulte la documentación de MobileTogether Client.
|