Hola.
Adjunto el procedimiento para crear un certificado Let’s Encrypt, con ZeroSSL y configurarlo en un apache.
Certificado con ZeroSSL.pdf (709,9 KB)
Muchas gracias por la aportación
Buenas tardes.
Aquí os dejo como Crear y Configurar un certificado Let´s Encrypt en Apache sin necesidad de ZeroSSL.
Apache SSL.pdf (880,7 KB)
1 me gusta
Buenos días:
¿Habéis configurado un certificado let´s encrypt directamente en el servidor win 2016 64 bits para servir vatps en las versiones nuevas de velneo?
¡El certificado que tengo configurado sirve paginas https pero no vatps!
Muchas gracias de antemano
Ceferino
Hola Ceferino, justo estoy en lo mismo, generé mis certificados con let’s encrypt directamente en mi servidor que también es un Win 2016 64 bits, pero lo que no mencionas es que versión de Velneo tienes instalada. En mi caso tengo la 31.1.
Obvio intenté con vatps y hasta el momento no logra funcionar, levanta el servicio, en los mensajes del registro dice que reconoce el certificado ssl, y hasta me indica la fecha de vencimiento, pero ni usando vatps ni vatp se conecta nada.
Para validar que los certificados funcionaran hice también lo mismo, configurar el apache que tengo en el servidor, y después de aprender a golpes como hacerlo, el servidor https responde sin problema alguno, incluso hice la prueba desde sitios que validan tu dominio por ssl y en todas las pruebas siempre sale correcto.
Creo que después de leerte, podría Velneo tener problemas al cargar certificados de Let’s encrypt o es que habremos hecho algo mal al momento de generar el certificado.
En la parte de la ayuda de Velneo menciona que vServer no es compatible con certificados con Passphrase. Al momento de generar mi certificado no aprecio haberle indicado que no usara Passphrase (¿o si precisamente al no indicar nada esto significa por default que no la usa?), ya que de ahí en más no aprecio “incompatibilidad” alguna de acuerdo a la misma documentación de Velneo.
En estos momentos tengo el caso levantado con Velneo directamente y se encuentran ayudandome, pero como es mi servidor en producción, solo puedo hacer las pruebas que me solicitan hasta el final del día, ya que no hay usuarios conectados y eso hace que el proceso de pruebas vaya lento.
Si alguno de ustedes tiene configurado su servidor con Let’s encrypt, que nos pueda apoyar con sus comentarios, sería valioso o si de plano tendremos que ir con un proveedor de certificados.
De antemano agradezco sus comentarios que nos puedan brindar.
Buenos días, marco_rangel:
Estoy en pruebas con un maquina clonada del de producción para actualizar de la v31.1 a v33.1, la v34 estoy a la espera de que aparezca la 34.1, una vez corrijan errores.
Es curioso, las exigencias del protocolo vatps son:
- un certificado tipo x.509;
El comando openSSL “openssl x509 -in ‘nombre_del_archivo_certificado’ -text -noout” devuelve
X509v3 extensions:
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication - que no contenga passphrase:
Asi mismo, el cmd para averiguar el passphrase:
“openssl rsa -modulus -noout -in ‘nombre_del_archivo_certificado’ | openssl md5”
devuelve Not a RSA key
A partir de aquí soporte me dice:
“revisa cómo has compuesto el fullchain, porque ahí es donde debe estar la clave”
y me remite aqui componer certificado
La herramienta utilizada para generar el fullchain de let´s encryt en mi servidor es certbot, ésta devuelve dos archivos fullchain1.pem y fullchain2.pem. En caso de seguir las instrucciones de velneo para generar el fullchain impediría a certbot renovar el certificado de forma automática cada 90 días.
Me temo que velneo no dispone de herramientas para crear un fullchain valido para vatps, verificar o depurar que es lo que está mal en el certificado ssl, ni manera de renovar el certificado let´s encript de forma automatica.
Cualquier avance con el tema escribiré por aquí
Saludos
Ceferino
Hola.
En una entrada anterior Enrique dejó las instrucciones necesarias para configurar todo, nosotros lo tenemos instalado con velneo 33 y funciona perfectamente.
Un saludo.
Buenos días, antonioosorio:
¿Te refieres a verificar con esta herramienta que ha publicado Enrique?
¿Qué herramienta estas utilizando para configurar y renovar el certificado?
Muchas gracias
Ceferino
Hola.
En este mismo hilo, tienes una entrada de Noviembre de 2020 donde puedes descargar un pdf con todos los pasos necesarios.
Un saludo
Hola Ceferino, pues la verdad es que apenas estoy aprendiendo muchas cosas de esto de los certificados.
Creo que el comando para averiguar el passphrase no es el correcto, creo que el correcto sería
openssl pkey -in privkey2.pem
simplemente, y si al ejecutarlo no te pide contraseña es porque no la necesita.
o al menos eso es lo creo haber entendido de lo que investigué en algunos sitios para validar los certificados.
también encontré un par de comando para validar que la llave corresponde al certificado
openssl pkey -in privkey2.pem -pubout -outform pem
openssl x509 -in fullchain2.pem -pubkey -noout -outform pem
si ambos comandos te regresan la misma cadena entonces la llave si corresponde al certificado.
En mi caso así sucede, tanto como lo del passphrase que no me pide contraseña como lo de la cadena idéntica para los dos últimos comandos.
Si alguien que sepa más sobre el tema que pueda darnos comentarios sobre estas validaciones que puse si son correctas, serán bienvenidos.
Reviso el enlace que pusiste Ceferino a ver qué más puedo hacer.
Wow, fue rápido lo de la revisión de “componer el certificado”.
y pues el archivo fullchain*.pem, como su nombre lo dice, tiene todos los certificados. De hecho al usar una de las páginas de validación de ssl, me muestra precisamente la cadena de certificados.
Ceferino, yo también uso certbot y como comento, me genera el fullchain sin problema, por lo que no hay necesidad de hacer nada más.
Imagino que esta debe de ser toda la cadena completa del certificado, y como te comento, sin necesidad de modificar nada.
Por cierto Ceferino, ¿en tu caso qué es lo que sucede cuando levantas el servidor con ssl?
Como comenté en un inicio, en mi caso, en el registro no me marca error, incluso me muestra la vigencia del certificado, pero al conectar cualquier cliente (vClient, vAdmin, etc.), al dar en el botón conectar se queda con el ícono del mouse de espera durante muchos segundos (tanto local como desde Internet) hasta que me manda el error “Error: Conexión con el servidor”.
Buenas tardes, Marco:
Si, también en mi caso, el comportamiento de la ventana de conexión es el que comentas.
Para acceder al vAdmin tengo que eliminar las claves del registro y reiniciar para conectar mediante el certificado autofirmado de velneo.
En cuanto a las instrucciones de Enrique en el documento Apache SSL.pdf, la diferencia que veo es que emplea una herramienta diferente a Certbot, win-acme, aunque no he probado, creo que son similares.
Saludos cordiales
Ceferino
Pero las instrucciones son para Apache, yo con Apache nunca tuve problema ya que antes de probar con Velneo, primero intente con Apache, ya que ese servicio si lo podía reiniciar las veces que quisiera durante el día, no así con el servicio de Velneo (ambos en el mismo equipo).
Buenos días:
Tienes razón, que es para apache. Y no sabemos componer un certificado para velneo, en mi caso, he descartado probar con las instrucciones de velneo porque no veo que sea capaz de renovarse de forma automática.
El certificado de mi dominio garantiza la comunicación con los servicios instalados para IIS y nodejs.
Ya digo, se trata de trafico https y no vatps, seguiremos insistiendo con el tema…
Saludos cordiales
Ceferino
Ceferino!!, lo tengo!!!
En esta información está la clave:
que no contenga passphrase:
Asi mismo, el cmd para averiguar el passphrase:
“openssl rsa -modulus -noout -in ‘nombre_del_archivo_certificado’ | openssl md5”
devuelve Not a RSA key
El problema es que certbot genera por default una clave del tipo ECDSA y Velneo espera una llave tipo RSA, por eso al validarla te regresa Not a RSA key, pero vServer no hace validación alguna y carga, pero no hace nada.
Para corregir esto, solo ejecuta en tu servidor:
certbot renew --key-type rsa --cert-name tu.domi.nio --force-renewal
para que te renueve el certificado y en esta ocasión con una llave RSA, y si usas los archivos link, solo necesitas modificar el servicio con el parámetro /ssl y eso es todo.
Ahh, y busca el archivo de configuración de la renovación de tu dominio (en mi caso en “c:\certbot\renewal\midominio.conf”) y en la línea del tipo de certificado fijate que diga rsa (en mi caso se actualizó en automático al momento de correr el comando, pero no está de más cerciorarse).
Ahora si, a actualizar a 33.1 mientras llega 34.1.
1 me gusta
Genial, Marco!
Voy a probarlo. En soporte todavía no han resuelto el problema de mi conexión.
¡Jajaja, parece que no había leído con atención las instrucciones de Enrique Alcalá!
Entiendo que de esta manera tendremos resuelto el certificado del trafico https y vatps, y por descontado, la renovación automática del certificado let´s encrypt.
Muchas gracias
Ceferino
1 me gusta