Protección de la instalación de ISPConfig 3 con un certificado SSL Class1 gratuito de StartSSL

Este tutorial muestra cómo puede usar un certificado SSL Clase 1 gratuito de StartSSL para proteger su instalación de ISPConfig 3 y deshacerse de las advertencias de certificado autofirmado. La guía cubre el uso del certificado SSL para la interfaz web ISPConfig (tanto Apache2 como nginx), Postfix (para conexiones TLS), Courier y Dovecot (para POP3 e IMAP) y PureFTPd (para conexiones TLS/FTPES). Si instaló monit y usa HTTPS para su interfaz web, también le mostraré cómo usar el certificado StartSSL. Esta guía asume que usa Debian o Ubuntu; el principio es el mismo para otras distribuciones compatibles con ISPConfig 3, pero las rutas pueden diferir.

ACTUALIZACIÓN 20/12/2017

Los navegadores ya no confían en StartSSL CA y dejarán de emitir certificados SSL el 1 de enero de 2018. Hay una buena alternativa disponible hoy, use Let's Encrypt en lugar de StartSSL para obtener un certificado SSL gratuito. Aquí puede encontrar instrucciones sobre cómo usar un certificado Let's encrypt SSL para ISPConfig, Postfix, Dovecot, Courier, Monit y PureFTPD:

https://www.howtoforge.com/community/threads/secureing-ispconfig-3-control-panel-port-8080-with-lets-encrypt-free-ssl.75554/

1 nota preliminar

Supongo que ha utilizado una de las guías de http://www.ispconfig.org/ispconfig-3/documentation/ para configurar su sistema. Como mencioné antes, me concentraré en Debian/Ubuntu en esta guía, pero también debería funcionar para otras distribuciones compatibles con ISPconfig 3 (aunque es posible que deba ajustar algunas rutas).

Usaré el nombre de host server1.example.com aquí; StartSSL le permite crear el certificado Class1 para el dominio principal y un subdominio, por lo que crearé el certificado para example.com y server1.example.com. Esto significa que debe indicar a sus usuarios que utilicen el dominio principal ejemplo.com o el subdominio servidor1.ejemplo.com para todos los servicios (interfaz web ISPConfig, Postfix, Courier/Dovecot, PureFTPD, etc.) porque, de lo contrario, recibirán advertencias de certificado. .

Si prefiere usar diferentes nombres de host para sus servicios (por ejemplo, mail.example.com para Postfix, ispconfig.example.com para ISPConfig, etc.), le sugiero que obtenga un certificado Class2 de StartSSL. No es gratuito, pero le permite crearlo para múltiples subdominios (incluso puede usar *.example.com para crearlo para todos los subdominios) e incluso para múltiples dominios. Las instrucciones son las mismas, excepto que cuando uso el certificado intermedio sub.class1.server.ca.pem de StartSSL, debe usar sub.class2.server.ca.pem en su lugar. Describiré esta diferencia a lo largo del tutorial.

Estoy ejecutando todos los pasos de este tutorial con privilegios de root, así que asegúrese de haber iniciado sesión como root. Si usa Ubuntu, ejecute...

sudo su

... para obtener privilegios de root.

2 Creación de una solicitud de firma de certificado (CSR)

Necesitamos una solicitud de firma de certificado (CSR) para obtener un certificado SSL de StartSSL. Dado que el instalador de ISPConfig (para versiones>=3.0.4) crea esto de todos modos, usaré este CSR como base para cifrar todos los servicios (ISPConfig, Postfix, etc.).

Desde la versión 3.0.4 de ISPConfig, el instalador de ISPConfig ofrece la opción de usar el cifrado SSL para la interfaz web de ISPConfig, crea un certificado autofirmado (4096 bits) que incluye una CSR si responde la siguiente pregunta con ENTER o y:

¿Quiere una conexión segura (SSL) a la interfaz web de ISPConfig (s, n) [s]:<-- ENTRAR

Para que el instalador de ISPConfig cree la CSR con los datos correctos, debe ingresar los detalles correctos cuando vea estas preguntas:

Generación de clave privada RSA, módulo largo de 4096 bits
.................................... .......................++
..................... ..........................................................++
e es 65537 (0x10001)
Se le pedirá que ingrese información que se incorporará
en su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un nombre distinguido o un DN.
Hay bastantes campos, pero puede dejar algunos en blanco
Para algunos campos habrá un valor predeterminado,
Si ingresa '.', el campo se dejará en blanco.
-----
Nombre del país (código de 2 letras) [AU]:<-- DE
Nombre del estado o provincia (nombre completo) [Algún estado] :<-- Niedersachsen
Nombre de la localidad (p. ej., ciudad) []:<-- Lueneburg
Nombre de la organización (p. ej., empresa) [Internet Widgits Pty Ltd]:<-- My Company Ltd.
Nombre de la unidad organizativa (p. ej., sección) []:<-- TI
Nombre común (p. ej., SU nombre) []:<-- ejemplo.com
Dirección de correo electrónico []:<-- [email prote cted]

Ingrese los siguientes atributos 'adicionales'
que se enviarán con su solicitud de certificado
Una contraseña de desafío []:<-- ENTRAR
Un nombre de empresa opcional []:<-- ENTRAR
escribir clave RSA

Si inicialmente creó el certificado con datos incorrectos, puede actualizar ISPConfig ejecutando...

ispconfig_update.sh

... o, si ya tiene instalada la última versión, ejecute los siguientes comandos:

cd /tmp
wget http://www.ispconfig.org/downloads/ISPConfig-3-stable.tar.gz
tar xvfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install
php -q update.php

Esto le permitirá crear un nuevo certificado para su interfaz web ISPConfig 3 respondiendo a la siguiente pregunta con un sí:

Crear nuevo certificado SSL ISPConfig (sí, no) [no]:<-- sí

Si usa una versión de ISPConfig anterior a la 3.0.4, ahora debe actualizar a la última versión estable ejecutando...

ispconfig_update.sh

Esto también le permitirá crear una conexión SSL para su interfaz web ISPConfig 3 respondiendo la siguiente pregunta con un sí:

Crear nuevo certificado SSL ISPConfig (sí, no) [no]:<-- sí

Como se describió anteriormente, asegúrese de ingresar los detalles correctos.

Luego, debe tener una clave SSL, un CSR y un certificado autofirmado en el directorio /usr/local/ispconfig/interface/ssl/:

ls -l /usr/local/ispconfig/interface/ssl/

[email protected]:~# ls -l /usr/local/ispconfig/interface/ssl/
total 16
-rwxr-x--- 1 ispconfig ispconfig 2423 Jan 16 13:29 ispserver.crt
-rwxr-x--- 1 ispconfig ispconfig 1777 Jan 16 13:29 ispserver.csr
-rwxr-x--- 1 ispconfig ispconfig 3243 Jan 16 13:29 ispserver.key
-rwxr-x--- 1 ispconfig ispconfig 3311 Jan 16 13:28 ispserver.key.secure
[email protected]:~#

Todo lo que necesitamos en este tutorial es la clave privada (ispserver.key) y la CSR (ispserver.csr); reemplazaremos ispserver.crt con el certificado Class1 de StartSSL. Puede ignorar ispserver.key.secure.

También es posible crear ispserver.key e ispserver.csr en la línea de comando de la siguiente manera:

cd /usr/local/ispconfig/interface/ssl/
openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout ispserver.key -out ispserver.csr

(Esto no le dará ispserver.crt, lo cual no importa, ya que obtendremos nuestro certificado firmado de StartSSL).

Su ispserver.csr debería ser similar a este (he borrado gran parte de él porque este es un CSR real que uso):

cat /usr/local/ispconfig/interface/ssl/ispserver.csr

3 Obtener su certificado Class1 gratuito de StartSSL

Ahora vaya a http://www.startssl.com/ y cree una cuenta. Una vez que haya validado su dominio (en la pestaña Asistente de validaciones), puede solicitar su certificado en la pestaña Asistente de certificados; seleccione Certificado SSL/TLS de servidor web en el campo desplegable Destino del certificado:

Como ya tenemos una clave privada y una CSR, podemos omitir el siguiente paso:haga clic en Omitir>>:

En la página siguiente, completa su CSR, es decir, el contenido del archivo /usr/local/ispconfig/interface/ssl/ispserver.csr (comenzando con -----COMENZAR SOLICITUD DE CERTIFICADO----- y terminando con -----FINALIZAR SOLICITUD DE CERTIFICADO-----):

Luego siga el resto del asistente:le pedirá un dominio y un subdominio para el cual se creará el certificado. Si usa server1.example.com para todos sus servicios, complete example.com como dominio y server1 como subdominio.

Después de unos minutos, recibirá un correo electrónico informándole de que su nuevo certificado está listo. Vaya a Caja de herramientas> Recuperar certificado y seleccione su certificado:

Copie el certificado de la interfaz web de StartSSL...

... y haga una copia de seguridad de su archivo ispserver.crt original y pegue el certificado StartSSL Class1 en el archivo (vacío) ispserver.crt:

mv /usr/local/ispconfig/interface/ssl/ispserver.crt /usr/local/ispconfig/interface/ssl/ispserver.crt_bak
vi /usr/local/ispconfig/interface/ssl/ispserver.crt

A continuación, descargue la CA raíz de StartSSL y la CA del servidor intermedio Class1:

cd /usr/local/ispconfig/interface/ssl
wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem

(Si utiliza un certificado Class2, descargue sub.class2.server.ca.pem en lugar de sub.class1.server.ca.pem).

Cambie el nombre de ambos archivos:

mv ca.pem startssl.ca.crt
mv sub.class1.server.ca.pem startssl.sub.class1.server.ca.crt

(Ajuste el segundo comando si usa un certificado Class2).

Algunos servicios requieren un archivo .pem que creamos de la siguiente manera (nuevamente, asegúrese de ajustar los comandos si usa un certificado Class2):

cat startssl.sub.class1.server.ca.crt startssl.ca.crt > startssl.chain.class1.server.crt
cat ispserver.{key,crt} startssl.chain.class1.server.crt > ispserver.pem
chmod 600 ispserver.pem

4 Interfaz ISPConfig (Apache2)

Si usa ISPConfig 3 con Apache, abra /etc/apache2/sites-available/ispconfig.vhost...

vi /etc/apache2/sites-available/ispconfig.vhost

... y agregue la línea SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt a la sección # SSL Configuration (tenga en cuenta que debe volver a agregar esa línea siempre que actualiza ISPConfig!):

(Ajuste esto si usa un certificado Class2).

Reinicie Apache después:

/etc/init.d/apache2 restart

5 Interfaz ISPConfig (nginx)

En nginx, todo lo que tiene que hacer es agregar el certificado intermedio al archivo ispserver.crt (ajústelo si usa un certificado Class2)...

cat /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt >> /usr/local/ispconfig/interface/ssl/ispserver.crt

... y recargar nginx:

/etc/init.d/nginx reload

6 Postfijo

Para Postfix, hacemos copias de seguridad de /etc/postfix/smtpd.cert y /etc/postfix/smtpd.key y creamos enlaces simbólicos a /usr/local/ispconfig/interface/ssl/ispserver.crt y /usr/local/ispconfig/ interfaz/ssl/ispserver.key:

cd /etc/postfix
mv smtpd.cert smtpd.cert_bak
mv smtpd.key smtpd.key_bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.crt smtpd.cert
ln -s /usr/local/ispconfig/interface/ssl/ispserver.key smtpd.key

A continuación, agregamos la directiva smtpd_tls_CAfile a /etc/postfix/main.cf...

postconf -e 'smtpd_tls_CAfile = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt'

(Ajuste esto si usa un certificado Class2).

... y reinicie Postfix:

/etc/init.d/postfix restart

7 Palomar

Abra /etc/dovecot/dovecot.conf...

vi /etc/dovecot/dovecot.conf

Para Dovecot 1.x:

... y agregue la línea ssl_ca_file =/usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt (tenga en cuenta que debe volver a agregar esa línea cada vez que actualice ISPConfig!):

[...]
  # SSL Configuration
  SSLEngine On
  SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
  SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key
  ## must be re-added after an ISPConfig update!!!
  SSLCertificateChainFile /usr/local/ispconfig/interface/ssl/startssl.sub.class1.server.ca.crt
[...]

(Ajuste esto si usa un certificado Class2).

Para Dovecot 2.x:

... y agregue la línea ssl_ca_file =/usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt (tenga en cuenta que debe volver a agregar esa línea cada vez que actualice ISPConfig!):

[...]
ssl_cert_file = /etc/postfix/smtpd.cert
ssl_key_file = /etc/postfix/smtpd.key
## must be re-added after an ISPConfig update!!!
ssl_ca_file = /usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt
[...]

(Ajuste esto si usa un certificado Class2).

Reinicie Dovecot después:

/etc/init.d/dovecot restart

8 Mensajero

Cree copias de seguridad de /etc/courier/imapd.pem y /etc/courier/pop3d.pem...

mv /etc/courier/imapd.pem /etc/courier/imapd.pem.bak
mv /etc/courier/pop3d.pem /etc/courier/pop3d.pem.bak

... y luego vincularlos a /usr/local/ispconfig/interface/ssl/ispserver.pem:

ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem /etc/courier/imapd.pem
ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem /etc/courier/pop3d.pem

Reinicie Courier después:

/etc/init.d/courier-imap-ssl stop
/etc/init.d/courier-imap-ssl start
/etc/init.d/courier-pop-ssl stop
/etc/init.d/courier-pop-ssl start

9 PureFTPd

Cree una copia de seguridad de /etc/ssl/private/pure-ftpd.pem...

cd /etc/ssl/private/
mv pure-ftpd.pem pure-ftpd.pem_bak

... y cree un enlace simbólico a /usr/local/ispconfig/interface/ssl/ispserver.pem:

ln -s /usr/local/ispconfig/interface/ssl/ispserver.pem pure-ftpd.pem

Reinicie PureFTPd después:

/etc/init.d/pure-ftpd-mysql restart

10 Monitoreo

Monit no forma parte de las configuraciones de "Perfect Server" para ISPConfig 3, pero si lo tiene instalado y usa su interfaz web a través de https, así es como puede usar el certificado StartSSL para que desaparezcan las advertencias del certificado.

Abra /etc/monit/monitrc...

vi /etc/monit/monitrc

... y especifique /usr/local/ispconfig/interface/ssl/ispserver.pem en la línea PEMFILE, p. de la siguiente manera:

[...]
ssl_cert = </etc/postfix/smtpd.cert
ssl_key = </etc/postfix/smtpd.key
## must be re-added after an ISPConfig update!!!
ssl_ca = </usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt
[...]

Reiniciar monit después:

/etc/init.d/monit restart

11 enlaces

Iniciar SSL:http://www.startssl.com/
ISPConfig:http://www.ispconfig.org/

Sobre el autor

Falko Timme es el propietario de Timme Hosting (alojamiento web nginx ultrarrápido). Es el mantenedor principal de HowtoForge (desde 2005) y uno de los principales desarrolladores de ISPConfig (desde 2000). También ha contribuido al libro de O'Reilly "Administración del sistema Linux".

Cómo instalar los últimos navegadores Firefox, Chrome y Opera en Ubuntu Linux

Cómo acceder a su escritorio Ubuntu 14.04 de forma segura a través de la red con FreeNX

Ubuntu

Instale y configure Webmin con el certificado Let's Encrypt SSL gratuito en Debian 10

Cómo instalar RainLoop Webmail con Free Let's Encrypt SSL en Ubuntu

¿Cómo instalar el certificado SSL/TLS gratuito de Let’s Encrypt en su(s) dominio(s) con cPanel?

Protección de SmarterMail a través de SSL/TLS (8.x a 15.4)

Instale un certificado SSL gratuito en Panel Plesk

Asegure ISPConfig 3 y servicios con el certificado firmado de GoDaddy en CentOS

[...]
set httpd port 2812 and
     SSL ENABLE
     PEMFILE /usr/local/ispconfig/interface/ssl/ispserver.pem
     allow admin:secret
[...]