En el anterior artículo se trataba la instalación y configuración de un servidor HTTP con Apache. Añadiendo una guía más de administración de sistemas, abordamos la versión segura del protocolo, conocida como HTTPS, para ello vamos a emplear Apache y OpenSSL.
HTTPS
Hypertext Transfer Protocol Secure (HTTPS) es igual al protocolo HTTP, pero estableciendo la comunicación sobre un canal seguro cifrado con SSL o TLS. Esto protege la comunicación ante atacantes ya que, la información es transferida de forma cifrada dificultando a un atacante la obtención de la misma.
HTTPS también proporciona autenticidad a parte de seguridad. Asegura mediante el uso de certificados que el servidor es quien realmente dice ser, y permite autenticar tanto al servidor como al cliente. Estos certificados son firmados por una entidad de confianza, dichas entidades suelen venir instaladas en los navegadores y sistemas operativos. También existen certificados autofirmados, pero estos no aseguran la autenticidad. En resumen, HTTPS proporciona confidencialidad y autenticidad de la información.
Entidades de Certificación y PKI
Una entidad de certificación o CA (Certification Authority) es la responsable de la emisión, renovación y revocación de certificados usados. Se organizan de forma jerárquica, de manera que existen entidades de diferentes niveles. Estas entidades son un componente de lo que llamamos Infraestructura de Clave Pública o PKI (Public Key Infrastructure).
Contenidos del documento
- Instalación del módulo SSL de Apache
- Estudio de las entidades de certificación
- Configuración de OpenSSL
- Configuración de una nueva CA
- Emisión de certificados de servidor
- Emisión de certificados de cliente
- Revocación de certificados
- Configuración de Apache para HTTPS y autenticación de clientes mediante certificados
- Uso del Script CA.pl para la creación de una CA y la emisión de certificados firmados por la misma
- Introducción a Stunnel
- Protocolo OSCP e introducción a su configuración en Apache
Finalmente pongo a vuestra disposición el documento completo de la memoria de la práctica. El enunciado bajo el que se rige el siguiente documento pertenece a Teodoro Rojo Aladro, profesor de la Universidad San Pablo CEU.
0 comentarios