En este laboratorio aprenderás como implementar un certificado SSL en un OHS para un ambiente productivo, el ambiente preparado tiene instalado un Oracle Http Server 12c en conjunto con un weblogic 12c, una aplicación desplegada en un manage server, y todo en un sistema operativo con Oracle Linux 7.

Teniendo como base que tenemos lo anterior, realizaremos la configuración del certificado SSL a nivel del OHS.

Crear un nuevo wallet

Para la creación de un nuevo wallet debemos irnos la ruta donde tengamos el wallet default, puede ser cualquier lugar ya que más adelante se puede remapear la ubicación del wallet, debemos ejecutar el siguiente comando:

[oracle@pruebas keystore]$ orapki wallet create -wallet produccion -auto_login

Le colocamos la contraseña: 12345

Crear la información del certificado

Ahora debemos usar el siguiente comando para crear el certificado a firmar:

orapki wallet add -wallet produccion -dn 'CN=sistemas.ssl.com,OU=T.I.,O=TI,L=San José,ST=San José,C=CR’ -keysize 2048
-pwd 12345

Exportar el certificado del paso anterior

orapki wallet export -wallet produccion -dn ' CN=sistemas.ssl.com,OU=T.I.,O=TI,L=San José,ST=San José,C=CR’ -request requestCert.csr -pwd 12345

Ese certificado es el que se debe enviar a la entidad certificadora para que se realice su firma.

Después de haber generado el certificado en el paso anterior, en este caso el llamado requestCert.csr, es necesario enviarlo a la entidad certificadora, esta nos devolverá 2 certificados como en la siguiente imagen, dependiendo la entidad certificadora, esto podría cambiar sin embargo siempre deben existir estos 2 certificados, el raíz y el intermediario:

El primero es el certificado de usuario y en el segundo se encuentran el certificado root y el certificado CA o intermediario.

Debemos tomar el texto de cada uno y almacenarlo en un archivo con la extensión .cer, de modo que quede de la siguiente manera:

Para generar el certificado root, abriremos el certificado CA y nos iremos a la pestaña Ruta de certificación, dentro tocaremos el primer certificado, el cual es el root certificate y el segundo el CA, al seleccionar el primero tocaremos ver certificado:

Se nos desplegara una nueva ventana de ese certificado y debemos ir a la pestaña detalles y presionar copiar en archivo:

Seguiremos la siguiente serie de pasos para exportarlo:

Lo guardamos en cualquier ruta junto con los demás certificados

De modo que ahora tendremos 3 archivos:

Los pasaremos al servidor en la ruta donde se encuentra el wallet, no dentro del wallet sino una carpeta antes o bien podemo crear otra carpeta y almacenarlos ahí:

Importar los certificados

Para importar los certificados lo realizaremos de la siguiente manera:

Primero importamos el rootCertificate:

orapki wallet add
-wallet produccion -trusted_cert -cert certificados2018/rootCertificate.cer
-pwd 12345

Luego el certificado CA:

orapki wallet add -wallet produccion -trusted_cert -cert certificados2018/certificateCA.cer -pwd 12345

Y por último el userCertificate:

orapki wallet add
-wallet produccion -user_cert -cert certificados2018/userCertificate.cer -pwd
12345

Posterior a esto el wallet actual de producción se llama 2016_2017, así que para no tocar otra configuración del ssl.conf se le cambió el nombre del wallet de producción a 2016_2017 pero siempre se mantiene un backup.

Lo siguiente que debemos hacer es ir al archivo ssl.conf, dentro deberemos crear un virtual host:

En el virtual host debemos colocar el puerto 443 y el comando ServerName con el nombre del common name del certificado que firmamos, en este caso sistemas.ssl.com

Nota: La parte del rewrite condition es para que siempre cuando se coloque el nombre del dominio ingrese automáticamente a la página, este caso no aplica para todos los ohs, solo en este caso en específico.

Adicionalmente en este archivo ssl.conf encontraremos la siguiente línea:

SSLWallet  "/home/oracle/wallet"

Esta línea nos indica cuál es la ruta del wallet que cargará el ohs al reiniciarse.

Reiniciamos el ohs y probamos el ingreso a nuestra aplicación usando https en el url.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.