SSL

Postfix / SASL palomar y guía de SSL / TLS

Postfix / SASL palomar y guía de SSL / TLS

1. Introducción

Esta guía está diseñada para complementar la base guía de postfix . Está escrito para CentOS 5. Configuración diferirá para CentOS 6.

 

2. ¿Qué es SASL y qué lo necesito?

Por defecto, Postfix utiliza el parámetro $ mynetworks para controlar el acceso, es decir, que puede enviar o retransmitir correo a través del servidor de correo. No hay ninguna otra autenticación realizada aparte de comprobar que la dirección IP del usuario que intenta enviar correo forma parte de una red de confianza como se especifica en $ mynetworks.

Si sólo se está implementando un servidor de correo donde todos los usuarios se basan en la misma red, entonces es poco probable que usted tendrá que usar SASL o SSL / TLS. Sin embargo, si hay usuarios de móviles que deseen utilizar el servidor de correo, mientras que fuera de la base, necesitamos un mecanismo para autenticar ellos como usuarios de confianza para que sean capaces de enviar correo a través del servidor de correo.

SASL (Capa de autenticación y seguridad) proporciona un mecanismo de autenticación de los usuarios usando su nombre de usuario y contraseña. Probablemente la aplicación más conocida de SASL es proporcionado por la biblioteca SASL de Cyrus, pero palomar también tiene su propia implementación SASL incorporada, y como ya estamos quedando palomar bien podemos utilizarlo para SASL en lugar de tener que instalar y configurar otro paquete.

 

3. ¿Qué pasa con SSL / TLS?

Así SASL es capaz de proporcionar un mecanismo para autenticar usuarios remotos por nombre de usuario y la contraseña que deseen enviar correo a través del servidor de correo. Además, los usuarios remotos pueden recuperar el correo a través de IMAP y / o mecanismos de POP3 proporcionadas por palomar. Sin embargo, tenemos el problema de que estos mecanismos están enviando los nombres de usuario y contraseñas en texto plano a través de Internet (SASL soporta varios métodos de autenticación cifrados como DIGEST-MD5, pero estos no siempre son universalmente compatible con el software cliente de correo electrónico). Esto plantea un riesgo para la seguridad como cualquiera potencialmente puede interceptar esta información y robar datos de acceso por lo que necesitamos para cifrar la conexión. SSL (Secure Sockets Layer), y más recientemente TLS (Transport Layer Security), ofrecen un mecanismo para cifrar las comunicaciones entre dos hosts, en nuestro caso, nuestro servidor de correo y nuestro cliente remoto. SSL ha sido renombrado como TLS por la IETF partir de la versión 3.1.

 

4. Configuración de SASL en Postfix

Para configurar SASL en Postfix, tenemos que hacer las siguientes adiciones a / etc / postfix / main.cf:

 

smtpd_sasl_auth_enable = sí
broken_sasl_auth_clients = sí
smtpd_sasl_type = palomar
smtpd_sasl_path = private / auth
smtpd_sasl_security_options = noanonymous

y añade permit_sasl_authenticated a nuestra sección de smtpd_recipient_restrictions de / etc / postfix / main.cf (si usted no tiene una sección smtpd_recipient_restrictions, entonces el siguiente ejemplo funciona bien):

 

smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination

Lo siguiente que necesitamos para configurar autenticación predeterminado en la sección Autenticación de / etc / dovecot.conf procesa. Elimine el comentario y / o añadir las siguientes líneas como sea necesario (tenga cuidado ya que esta sección es muy comentados, ya existen algunas entradas, otros están comentadas y necesitan uncommenting como socket de escucha):

 

auth default {
    mecanismos = plain login
    passdb pam {
    }
    userdb passwd {
    }
    user = root
    socket escuchan {
      cliente {
        path = / var / spool / postfix / private / auth
        mode = 0660
        user = sufijo
        grupo = sufijo
      }
    }
}

Reinicie palomar y vuelva a cargar opción de configuración de postfix:

 

servicio restart palomar
Postfix reload

/! \Nota: Para CentOS 6, que utiliza 2.x palomar, ver aquí: https://wiki2.dovecot.org/HowTo/PostfixAndDovecotSASL

 

5. Pruebas SASL

Ahora tenemos SASL configurado tenemos que probar que funciona correctamente. A los efectos de las pruebas y / o de seguridad locales, sino que también puede ser útil para restringir $ mynetworks sólo para permitir 127.0.0.0 / 8 para que podamos cumplir la autenticación SASL, de lo contrario la retransmisión desde clientes locales configurados incorrectamente todavía esté permitido por la permit_mynetworks ajuste en smtpd_recipient_restrictions.

/! \Nota: ‘trabajo muy duro’ En los siguientes párrafos. Barcos CentOS una herramienta específica, dentro de un openssl opción para probar esto y mucho más. Ver: hombre s_client que se discute aquí por un enfoque más simple.

Podemos telnet en el servidor e intentar la autenticación utilizando nuestro nombre de usuario y contraseña. Sin embargo, nuestro nombre de usuario y la contraseña deben ser codificados en Base64 (Nota: nuestro nombre de usuario y la contraseña está codificada y no codificada, y es trivial para descifrar lo que no es seguro en esta etapa). Una cadena Base64 codificado de nuestro nombre de usuario y la contraseña se puede generar utilizando perl como se muestra a continuación (yo usé el usuario ‘test’ con la contraseña ‘test1234’ en este ejemplo)

 

$ Perl-MMIME :: Base64-e 'encode_base64 print ("\ 000test \ 000test1234");'
AHRlc3QAdGVzdDEyMzQ =

Como referencia, nuestra cadena Base64 codificado puede ser decodificado con:

 

$ Perl-MMIME :: Base64-e 'decode_base64 print ("AHRlc3QAdGVzdDEyMzQ =");'
testtest1234

Para aquellos que no cuentan con perl, hay un codificador Base64 en línea disponible aquí .

Usando nuestra cadena Base64 codificado para probar la autenticación:

 

$ Telnet localhost 25
Tratando 127.0.0.1 ...
Conectado a localhost.localdomain (127.0.0.1).
Carácter de escape es '^]'.
220 mail.example.com ESMTP Postfix
EHLO example.com
250-mail.example.com
250-PIPELINING
250 TAMAÑO 20.480.000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH = PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH LLANO AHRlc3QAdGVzdDEyMzQ =
235 2.0.0 autenticación exitosa
dejar de
221 2.0.0 Adiós
Conexión cerrada por el host externo.

Si todo funciona, deberíamos ver AUTH LOGIN LLANO (y AUTH = PLAIN LOGIN) indicando que auth smtp está siendo ofrecido por el servidor de correo y que debe entonces ser capaz de autenticar con éxito utilizando nuestro nombre de usuario y contraseña Base64 codificado.

Ahora podemos configurar nuestros clientes de correo electrónico para utilizar la autenticación (nombre de usuario y contraseña) al enviar el correo.

Thunderbird: Editar> Configuración de la cuenta y seleccione Servidor de correo saliente (SMTP) en el panel de la izquierda. Seleccione el servidor SMTP y haga clic en Editar, y en la sección de Seguridad y autenticación, marque “Usar nombre y contraseña” e introduzca su nombre de usuario.

Outlook Express: Herramientas> Cuentas> pestaña Correo> seleccione una cuenta y haga clic en Propiedades. A continuación, en la ficha Servidores, en Servidor de correo saliente, marque “Mi servidor requiere autenticación”.

Si vamos a enviar un mensaje de prueba y la cola nuestra maillog, suponiendo que todo está funcionando, ahora deberíamos ver nuestro cliente de correo electrónico autenticado mediante SASL:

 

tail-f / var / log / maillog
18 de marzo 13:25:56 correo postfix / smtpd [22400]: connect from electrónico [127.0.0.1]
18 de marzo 13:26:02 correo postfix / smtpd [22400]: 105892006E: client = electrónico [127.0.0.1], sasl_method = ESTÁNDAR, sasl_username = ned
18 de marzo 13:26:02 correo postfix / limpieza [22404]: 105892006E: message-id = <47DFC2E4.30402 @ example.com>
18 de marzo 13:26:02 correo postfix / qmgr [22338]: 105892006E: from = <ned@example.com>, size = 518, nrcpt = 2 (cola activa)
18 de marzo 13:26:02 correo postfix / smtpd [22400]: desconexión de correo [127.0.0.1]
18 de marzo 13:26:02 de correo postfix / local [22405]: 105892006E: a = <ned@example.com>, relay = local, delay = 0,26;
       demoras = 0.11/0.02/0/0.14, dsn = 2.0.0, status = enviado (entregado a maildir)
18 de marzo 13:26:06 correo postfix / qmgr [22338]: 105892006E: eliminado

 

6. La generación de los certificados SSL

Antes de poder utilizar SSL o TLS para cifrar nuestra conexión, hay que generar primero los certificados SSL que se utilizará para identificar el servidor y establecer el protocolo de cifrado. Certificados SSL constan de un par de claves pública y privada, y puede ser autofirmado o firmado por una autoridad de certificación raíz de confianza. Usted puede obtener libremente certificados firmados de CAcert y hay un guía disponible aquí . Sin embargo, por desgracia CAcert actualmente no está incluido como una autoridad de certificación raíz de confianza en la mayoría de los navegadores web más populares, clientes de correo electrónico y los sistemas operativos, por lo que el beneficio de la obtención de un certificado firmado CAcert se disminuyó un poco, ya que no será automáticamente aceptado como de confianza en muchos sistemas. Ya sea que utilice certificados o certificados firmados por una autoridad de certificación raíz de confianza con firma dependerá de la intención de uso de su servidor – si los usuarios confían en usted, entonces los certificados con firma bien pueden ser perfectamente aceptable para usted.

Hay muchas maneras de generar los certificados SSL usando OpenSSL. Puede usar openssl directamente o utilizar uno de los scripts suministrados como / etc / pki / tls / misc / o CA / usr/share/doc/dovecot-1.0/examples/mkcert.sh. Sin embargo, quizás el método más fácil para los nuevos usuarios de openssl es utilizar genkey y siga las instrucciones en pantalla.

Genkey es parte del paquete crypto-utils y se puede instalar y ejecutar desde la línea de comando (como root). El siguiente ejemplo va a generar un par de claves para el mail.example.com servidor que tiene una validez de 1 año:

 

yum install crypto-utils
genkey - día 365 mail.example.com

/! \Nota: CentOS 6.4 o posterior utiliza una versión de NSS que no admite md5. Debido a esto, el comando genkey no funcionaría. Más detalles y una solución se puede encontrar en las notas de la versión NSS_3.14 . Con el lanzamiento de CESA-2013: 1144 md5 es apoyado una vez más.

Siga las instrucciones en pantalla de introducir la información relativa a su localidad. La entrada más importante es el nombre común, ya que debe coincidir con los nombres de los usuarios utilizarán para conectarse al servidor. En nuestro ejemplo, esto sería mail.example.com, pero es muy probable que sea el nombre que ha introducido en el registro MX de DNS para su servidor de correo. Suponiendo que los servicios SMTP y IMAP/POP3 se están ejecutando en el mismo servidor, entonces usted puede utilizar los mismos certificados para ambos y clientes introduciría mail.example.com tanto IMAP/POP3 y la configuración del servidor SMTP salientes. Si tiene servidores smtp y IMAP/POP3 separadas entonces usted tendrá que crear certificados separados para cada uno.Genkey también le dará la opción de crear una petición de firma de certificado (CSR) si desea obtener un certificado firmado por una autoridad de certificación raíz de confianza. Por último, se le ofrecerá la opción de cifrar la clave privada con una contraseña.NO cifrar la clave privada de otra forma siempre que el servidor (o servicio) se reinicia él se sentará allí esperando a que introduzca la contraseña que no es muy práctico en un servidor remoto!

El par de claves de certificados se crean en los siguientes lugares:

 

/ Etc / pki / tls / certs / mail.example.com.cert # cert pública
/ / Tls / key etc pki / private / mail.example.com.key # privada

Puede dejar los certificados en su ubicación actual o copiar / mover a otro lugar. La clave privada debe ser propiedad y de lectura / escritura (0600), sólo por root.

 

7. Configuración de SSL / TLS en Postfix

Ahora que hemos generado nuestros certificados, podemos configurar Postfix para usarlos para cifrar las sesiones de autenticación SASL. Tenemos que añadir lo siguiente a / etc / postfix / main.cf:

 

smtpd_tls_security_level = Mayo
smtpd_tls_key_file = / etc / pki / tls / private / mail.example.com.key
smtpd_tls_cert_file = / etc / pki / tls / certs / mail.example.com.cert
# Smtpd_tls_CAfile = / etc / pki / tls / root.crt
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_session_cache_database = btree :/ var / spool / postfix / smtpd_tls_cache
tls_random_source = dev :/ dev / urandom
smtpd_tls_auth_only = sí

‘Smtpd_tls_security_level = puede’ sustituye a la antigua ‘smtpd_use_tls = sí “en Postfix 2.3 y permite el uso de TLS. Hemos comentado smtpd_tls_CAfile pero volveríamos a este ajuste para especificar el certificado de cualquier entidad raíz emisora ​​al utilizar certificados firmados. ‘Smtpd_tls_loglevel = 1’ registrará sesiones TLS para el registro de correo postfix (ajuste de nivel 0 se desactiva el registro de TLS y el nivel 2 puede ser útil para propósitos de depuración). Los ajustes smtpd_tls_session_cache caché TLS claves de sesión de 1 hora entre las sesiones y se recomienda debido al costo relativamente alto de negociación en varias ocasiones claves de sesión TLS para cada conexión.

El ajuste final, smtpd_tls_auth_only = sí, obliga al uso de TLS para la autenticación SASL y no permitirá la autenticación de texto sin formato que se produzca a menos de una sesión SSL / TLS se ha establecido. (Podría ser útil como comentario ‘smtpd_tls_auth_only = sí “durante la prueba para que podamos probar que SSL / TLS está trabajando, pero aún están a la autenticación SASL texto sin formato si SSL / TLS falla).

No se olvide de volver a cargar los parámetros de configuración de postfix:

 

Postfix reload

Ahora podemos telnet en el servidor y comprobar Postfix ofrece TLS:

 

$ Telnet localhost 25
Tratando 127.0.0.1 ...
Conectado a localhost.localdomain (127.0.0.1).
Carácter de escape es '^]'.
220 mail.example.com ESMTP Postfix
EHLO example.com
250-mail.example.com
250-PIPELINING
250 TAMAÑO 20.480.000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
dejar de
221 2.0.0 Adiós
Conexión cerrada por el host externo.

Si todo funciona como se espera, hay que ver el servidor que ofrece STARTTLS y porque hemos especificado ‘smtpd_tls_auth_only = sí “, la autenticación SASL texto plano (AUTH LOGIN LLANO y AUTH = PLAIN LOGIN) ya no está disponible.

Por último tenemos que configurar los clientes de correo electrónico para utilizar el cifrado al enviar el correo:

Thunderbird: Editar> Configuración de la cuenta y seleccione Servidor de correo saliente (SMTP) en el panel de la izquierda. Seleccione el servidor SMTP y haga clic en Editar, y en la sección de Seguridad y Autenticación, bajo “Utilizar conexión segura”, seleccione TLS (o “TLS, si está disponible”)

Outlook Express: Herramientas> Cuentas> pestaña Correo> seleccione una cuenta y haga clic en Propiedades. A continuación, en la ficha Avanzadas, en Servidor de correo saliente (SMTP), marque “Este servidor requiere una conexión segura (SSL)”.

Si vamos a enviar un mensaje de prueba y la cola nuestra maillog, suponiendo que todo está funcionando, ahora deberíamos ver una sesión TLS establecido que cifra la autenticación SASL posterior:

 

tail-f / var / log / maillog
21 de marzo 01:51:42 jessie postfix / smtpd [1893]: connect from unknown [192.168.0.20]
21 de marzo 01:51:42 jessie postfix / smtpd [1893]: el establecimiento de la conexión TLS desde desconocida [192.168.0.20]
21 de marzo 01:51:44 jessie postfix / smtpd [1893]: conexión TLS establecido desde desconocida [192.168.0.20]:
       TLSv1 con cifrado DHE-RSA-AES256-SHA (256/256 bits)
21 de marzo 01:51:44 jessie postfix / smtpd [1893]: D756E2006F: client = unknown [192.168.0.20], sasl_method = ESTÁNDAR, sasl_username = ned
21 de marzo 01:51:44 jessie postfix / limpieza [1897]: D756E2006F: message-id = <47E314AE.1070702 @ example.com>
21 de marzo 01:51:44 jessie postfix / qmgr [711]: D756E2006F: from = <ned@example.com>, size = 511, nrcpt = 2 (cola activa)
21 de marzo 01:51:45 jessie postfix / local de [1898]: D756E2006F: a = <ned@example.com>, relay = local, delay = 0,17;
       demoras = 0.13/0.02/0/0.02, dsn = 2.0.0, status = enviado (entregado a maildir)
21 de marzo 01:51:45 jessie postfix / qmgr [711]: D756E2006F: eliminado
21 de marzo 01:51:45 jessie postfix / smtpd [1893]: desconexión de unknown [192.168.0.20]

 

8. Configuración de SSL / TLS en el palomar

Soporte SSL / TLS está habilitado en palomar por defecto fuera de la caja. El paquete palomar incluso barcos con su propio certificado SSL que hemos cambiado el nombre y se reemplaza con nuestra propia anteriormente en esta guía. Los ajustes de interés están contenidos en / etc / dovecot.conf:

 

protocolos = pop3s pop3 imap imaps
# Disable_plaintext_auth = no
# Ssl_disable = no
ssl_cert_file = / etc / pki / tls / certs / mail.example.com.cert
ssl_key_file = / etc / pki / tls / private / mail.example.com.key
ssl_cipher_list = ALL: BAJA: SSLv2

Reinicie el servicio palomar después de realizar cambios:

 

servicio restart palomar

Para usar el cifrado SSL / TLS, debe habilitar las imaps (puerto 993) y / o POP3S (puerto 995) protocolos. Ajustes comentados representan los valores por defecto. Cuando se establece en sí, disable_plaintext_auth se desactivan todos los métodos de autenticación de texto plano (con la excepción de las conexiones desde la misma IP, porque se considera seguro). El ajuste ssl_cipher_list nos permite especificar la lista de cifrados permitidos para ser usados. Además de la lista por defecto, bloqueamos todos los cifrados de baja resistencia junto con el protocolo SSLv2 menos seguro.

Hay un número de maneras en que podemos abordar consideraciones de seguridad locales y remotas. Para aplicar el cifrado que se utilizará en todas las conexiones locales y remotas, podríamos simplemente desactivar los protocolos IMAP y POP3 inseguros, y sólo ofrecer imaps y pop3s en combinación con el ajuste ‘disable_plaintext_auth = sí “. Alternativamente, es posible que desee permitir a usuarios locales utilizan llanura imap texto y los protocolos POP3, mientras que todavía la aplicación que los usuarios remotos utilizan el cifrado. Una forma de lograr esto podría ser para permitir que todas las conexiones a imaps y pop3s (puertos 993 y 995, respectivamente), mientras que la restricción de las conexiones en los puertos IMAP y POP3 (143 y 110, respectivamente) a nuestra red local a través de reglas de firewall. Por ejemplo:

 

# IMAP (S)
# Aceptar sólo las conexiones de red locales para IMAP
iptables-A INPUT-i eth0-p tcp-s 192.168.0.0/24 - dport 143-j ACCEPT
# Aceptar todas las conexiones para IMAPS
iptables-A INPUT-i eth0-p tcp - dport 993-j ACCEPT
#
# POP3 (S)
# Aceptar sólo las conexiones de red locales para POP3
iptables-A INPUT-i eth0-p tcp-s 192.168.0.0/24 - dport 110-j ACCEPT
# Aceptar todas las conexiones para POP3S
iptables-A INPUT-i eth0-p tcp - dport 995-j ACCEPT

No se olvide de establecer normas adecuadas en el servidor de seguridad perimetral y reenviar los puertos apropiados.

Por último tenemos que configurar nuestros clientes de correo electrónico para utilizar el cifrado SSL.

Thunderbird: Editar> Configuración de la cuenta y seleccione la cuenta de correo “Configuración del servidor” en el panel de la izquierda. En la sección “Configuración de seguridad”, seleccione SSL. Tenga en cuenta el número de puerto ya debe haber cambiado a cualquiera de 993 o 995 para IMAPS o POP3S, respectivamente.

Outlook Express: Herramientas> Cuentas> pestaña Correo> seleccione una cuenta y haga clic en Propiedades. A continuación, en la ficha Opciones avanzadas, en correo entrante (POP3), marque “Este servidor requiere una conexión segura (SSL)”. Tenga en cuenta el número de puerto ya debe haber cambiado a cualquiera de 993 o 995 para IMAPS o POP3S, respectivamente.

Si la cola de nuestro registro de correo y comprobar si hay nuevo correo electrónico en nuestro cliente de correo electrónico, deberíamos ser capaces de ver que se está utilizando el cifrado TLS:

 

# Tail-f / var / log / maillog
21 de marzo 15:10:15 palomar jessie: pop3-login: Login: user = <ned>, method = LLANO, rip = :: ffff: 192.168.0.20, labio = :: ffff: 192.168.0.2, TLS
21 de marzo 15:10:15 jessie palomar: POP3 (NED): Desconectado: Sesión cerrada top = 0/0, retr = 0/0, del = 0/0, size = 0

Si “TLS” no aparece en el final de la primera línea, entonces algo salió mal y la conexión no se ha cifrado.

Cómo instalar un certificado SSL en Microsoft IIS6.

Cómo instalar un certificado SSL en Microsoft IIS6.

Después que se apruebe su solicitud para certificado, puede descargar su certificado SSL e intermedio dentro de su solicitud SSL. Para más información vea Cómo descargar su certificado SSL.

Para instalar la combinación de certificado intermedio

  1. En el menú Start , haga clic en Run….
  2. Escriba mmc y haga clic en OK. Se abrirá la consola Microsoft Management Console.
  3. En el menú File, haga clic en Add/Remove Snap In.
  4. Haga clic en Add.
  5. Elija Certificates y luego haga clic en Add.
  6. Elija Computer Account y luego haga clic en Next.
  7. Elija Local Computer, luego haga clic en Finish.
  8. Haga clic en OK para cerrar Add or Remove Snap-ins.
  9. En la ventana de la consola, expanda el folder de Certificados.
  10. Haga clic con el botón de la derecha del ratón en Intermediate Certification Authorities, pase el ratón sobre All Tasks, luego haga clic en Import.
  11. En Certificate Import Wizard, haga clic en Next.
  12. Haga clic en Browse para ubicar el archivo del certificado.
  13. En la esquina inferior derecha, cambie el filtro de extensión de archivo a *.p7b.
  14. Elija el archivo del certificado correspondiente y haga clic en Open.
  15. Haga clic en Next.
  16. Elija Place all certificates in the following store.
  17. Haga clic en Browse, elija Intermediate Certification Authorities y luego haga clic en Next.
  18. Haga clic en Finish.
  19. Cierre la ventana de la consola.
  20. En el menú Start, vaya a Administrative Tools y luego haga clic en Internet Information Service console.
  21. Haga clic con el botón de la derecha en el sitio web o nombre de alojamiento de su certificado.
  22. Haga clic en Properties.
  23. Haga clic en la ceja Directory Security.
  24. Haga clic en Server Certificate.
  25. Se abrirá la ventana Welcome to the Web Server Certificate WIzard. Haga clic en Next.
  26. Elija Process the pending request and install the certificate y luego haga clic en Next).
  27. Haga clic en Browse. Elija all files y elija el archivo de su certificado.
  28. Haga clic en Next.
  29. Verifique Certificate Summary y haga clic en Next.
  30. Elija Finish.

Cómo instalar un certificado SSL en Apache.

Cómo instalar un certificado SSL en Apache.

Después de aprobar su certificado, puede descargar su certificado SSL e intermedio dentro de la aplicación SSL. Para más información, vea Cómo descargar su certificado SSL. Ambos archivos deberán instalarse en su servidor de internet.

Usted también podrá descargar su combinación de certificado intermedio del depósito.

Para instalar de certificado SSL e intermedio

  1. Copie su archivo de certificado SSL y el de combinación en su servidor Apache. Debería tener ya un archivo clave en el servidor desde cuando usted generó su solicitud para certificado.
  2. Edite la configuración de su servidor Apache para referirse a estos archivos. La configuración exacta del archivo que editará dependerá de su versión de Apache, su plataforma OS y/o el método usado para instalar el Apache. En el Apache 1.3, probablemente editará el archivo principal httpd.conf. En el Apache 2.x, probablemente editará el archivo ssl.conf.
  3. Encuentre las siguientes directivas. Si una o más de ellas estén en función de comentario actual, desactívelas quitando el carácter ‘#’ del inicio de la línea. Fije los valores de estas directivas para la ruta absoluta y nombre de archivo del archivo correspondiente:
    • SSLCertificateFile /path/to/your/certificate/file
    • SSLCertificateKeyFile /path/to/your/key/file
    • SSLCertificateChainFile /path/to/intermediate/bundle/file
  4. Guarde su archivo de configuración y reinicie el Apache.

Para reiniciar su servidor de internet

El procedimiento para reiniciar su Apache dependerá mucho de su plataforma de sistema operativo (OS, por sus siglas en inglés). En las plataformas similares a Unix (Linux, Solaris, HP-UX, etc.) en general, operará un guion para parar y reiniciar httpd daemon. En Windows, en general, parará y reiniciará el servicio Apache en la consola administrativa de e Servicios. Favor de consultar la documentación de su vendedor OS o la de Apache.

¿Qué SSL necesito?

¿Qué SSL necesito?

Algunos sitios web o configuraciones de servidores requieren un tipo específico de SSL. Usa estas preguntas como guía para ayudar a determinar qué SSL deberías utilizar.

¿Dónde estás ubicado?

Nuestros certificados SSL se emiten a individuos y empresas en todo el mundo, pero hay unas cuantas restricciones. Para obtener más información, consulta ¿Qué países pueden recibir servicio para emitir un certificado?

¿Es esto para un sitio web personal o de negocios?

¿Cómo quieres mostrar a tus visitantes que tu sitio es seguro? ¿Quieres que los visitantes vean que el SSL pertenece a una organización verificada o es suficiente con que HTTPS aparezca en la dirección?

Todos los sitios protegidos con SSL muestran HTTPS en la dirección. Los SSL premium de validación extendida (VE) también muestran un destacado indicador (normalmente una barra de dirección verde) para asegurar rápidamente que la existencia legal y física de la organización se ha verificado de acuerdo con las estrictas normas de la industria. Para obtener más información, consulta

¿Qué tipo de servidor o web hosting usas?

Nuestros certificados SSL funcionan en todos los tipos de configuraciones de hosting y de servidores, pero estos servidores específicos deben utilizar el certificado indicado:

  • Las tiendas con Quick Shopping Cart® deben usar un SSL estándar o premium para un solo dominio.
  • Los servidores Intel vPro debe usar un SSL Deluxe de seguridad alta (disponible solo a través de llamada telefónica).
  • Exchange Server 2007 y 2010 deben usar un SSL de varios dominios (UCC) para proteger varios servicios (dominios).

Todos los dominios se indican en un UCC. Si quieres proteger al mismo tiempo dominios totalmente cualificados (ejemplo: www.ejemplogenial.com) y parcialmente cualificados (ejemplo: ejemplogenial.com) con un UCC, asegúrate de seleccionar un dominio para cada uno. Tienes que saber qué dominios necesitas cubrir cuando realices la transacción, porque no puedes actualizar después.

¿Cuántos dominios únicos quieres proteger con HTTPS?

¿Tienen todos los sitios nombres de dominios totalmente cualificados o necesitas agregar unos cuantos subdominios (consulta

) a la carrera?

  • Los SSL comodín cubren varios subdominios. Por ejemplo, puedes proteger *.ejemplogenial.com, con lo que quedarían cubiertos comprar.ejemplogenial.com, www.ejemplogenial.com y cualquier otro subdominio.
  • Los SSL UCC pueden cubrir varios subdominios, nombres de dominio únicos y sitios web. Por ejemplo, puedes proteger www.ejemplogenial.com. mail.ejemplogenial.com y www.ejemploalucinante.com.

Los SSL UCC representan todos los dominios secundarios con el nombre comercial primario, por lo que todos los sitios deben estar relacionados. Un sello de sitio UCC muestra solo el nombre de dominio privado como “Emitido a” y todos los sitios web secundarios se indican en los detalles del certificado.

Cómo habilitar SSL en Joomla 1.5

Cómo habilitar SSL en Joomla 1.5

Si desea utilizar un certificado SSL con un sitio web Joomla, puede activarlo a través de:

Área administrativa Joomla -> Sitio -> Configuración Global -> pestaña Servidor

Dentro de esta sección se encuentra el campo ” Fuerza SSL “. Desde el menú desplegable, puede seleccionar entre dos opciones: sólo Administrador – Esta opción permitirá el uso de SSL sólo para la sección administrativa de su sitio web.

Todo el sitio – Esta opción permitirá que el SSL para su sitio web completo, incluyendo su zona frontal y la sección administrativa.

Tenga en cuenta que para poder utilizar un certificado SSL con su Joomla, necesitará un certificado SSL privado expedida para su dominio.

Cómo activar / desactivar el inicio de sesión funcionalidad SSL formulario Joomla

Cómo activar / desactivar el inicio de sesión funcionalidad SSL formulario Joomla

Su formulario de acceso Joomla puede ser configurado para trabajar con o sin un certificado SSL.Con el fin de ajustar los ajustes que debe ir a:

Área administrativa Joomla -> Extensiones -> Gestor de módulos

Aquí se debe seleccionar el módulo Formulario de entrada . En la página siguiente bajo losparámetros del módulo (Joomla 1.5) / Opciones básicas sección (Joomla 2.5), se encuentra el campo Cifrar Login Form .

Por desactivar o activar esta variable se puede controlar el uso del certificado SSL para su formulario de acceso.

Para utilizar un certificado SSL con su sitio web Joomla se necesita un certificado SSL privado expedida para su dominio.

Cómo activar la protección SSL para su sitio web Joomla 2.5?

Cómo activar la protección SSL para su sitio web Joomla 2.5?

Con el fin de activar un soporte de certificados SSL para su sitio web debe cargar su Joomla 2.5 área de administración -> Sitio -> Configuración Global -> Servidor.

Busque la Fuerza SSL menú desplegable. Las opciones posibles son:

  • Ninguno – No hay soporte SSL.
  • Administrador sólo – Permite la protección SSL para el área de administración de Joomla 2.5.
  • Todo el sitio – Permite la protección SSL para todo el sitio web, incluyendo la parte delantera y área de administración.

Para utilizar un certificado SSL con su Joomla 2.5 se necesita un certificado SSL privado expedida para su dominio