Requisitos previos Paso 1: Habilitar TLS en el servidor Paso 2: Obtener un certificado firmado por una CA Paso 3: Probar y reforzar la configuración de seguridad Solución de problemas

Tutorial: Configurar SSL/TLS en AL2

Layer/Transport Secure Sockets Layer Security (SSL/TLS) creates an encrypted channel between a web server and web client that protects data in transit from being eavesdropped on. This tutorial explains how to add support manually for SSL/TLSen una EC2 instancia con AL2 un servidor web Apache). En este tutorial, se presupone que no está utilizando un balanceador de carga. Si utiliza Elastic Load Balancing, puede elegir configurar la descarga SSL en el balanceador de carga, mediante un certificado de AWS Certificate Manager en su lugar.

Por motivos históricos, el cifrado web se suele denominar simplemente SSL. Aunque los navegadores web siguen admitiendo SSL, el protocolo que lo sustituye, TLS, es menos vulnerable a los ataques. AL2 deshabilita el soporte del lado del servidos para todas las versiones de SSL de forma predeterminada. Organismos de estándares de seguridad consideran que TLS 1.0 no es seguro. TLS 1.0 y TLS 1.1 han quedado formalmente obsoletos en marzo de 2021. Este tutorial contiene asesoramiento basado exclusivamente en la habilitación de TLS 1.2. TLS 1.3 se finalizó en 2018 y estará disponible AL2 siempre que se admita y habilite la biblioteca TLS subyacente (OpenSSL en este tutorial). Los clientes deben ser compatibles con TLS 1.2 o una versión posterior antes del 28 de junio de 2023. Para obtener más información sobre el estándar de cifrado actualizado, consulte RFC 7568 y RFC 8446.

Este tutorial se refiere a un cifrado web moderno tan simple como TLS.

importante

Estos procedimientos están diseñados para usarse con. AL2 También asumimos que estás empezando con una nueva EC2 instancia de Amazon. Si estás intentando configurar una EC2 instancia que ejecute una distribución diferente o una instancia que ejecute una versión antigua de AL2, es posible que algunos de los procedimientos de este tutorial no funcionen. Para Ubuntu, consulte la siguiente documentación de la comunidad: OpenSSL on Ubuntu (OpenSSL en Ubuntu). Para Red Hat Enterprise Linux, consulte lo siguiente: Configuración del servidor web HTTP Apache. Para otras distribuciones, consulte su documentación específica.

nota

Como alternativa, puede usar AWS Certificate Manager (ACM) para AWS Nitro Enclaves, que es una aplicación de enclave que le permite usar SSL/TLS certificados públicos y privados con sus aplicaciones web y servidores que se ejecutan en EC2 instancias de Amazon con AWS Nitro Enclaves. Nitro Enclaves es una EC2 capacidad de Amazon que permite la creación de entornos informáticos aislados para proteger y procesar de forma segura datos altamente confidenciales, como SSL/TLS certificados y claves privadas.

ACM for Nitro Enclaves funciona con nginx que se ejecuta en tu instancia de EC2 Amazon Linux para crear claves privadas, distribuir certificados y claves privadas y gestionar las renovaciones de certificados.

Para utilizar ACM para Nitro Enclaves, debe utilizar una instancia Linux habilitada para enclave.

Para obtener más información, consulte ¿Qué es Nitro Enclaves? AWS y AWS Certificate Manager para ver Nitro Enclaves en la Guía del usuario de AWS Nitro Enclaves.

Contenido

Requisitos previos
Paso 1: Habilitar TLS en el servidor
Paso 2: Obtener un certificado firmado por una CA
Paso 3: Probar y reforzar la configuración de seguridad
Solución de problemas

Requisitos previos

Siga estos pasos antes de comenzar este tutorial:

Lance una AL2 instancia respaldada por Amazon EBS. Para obtener más información, consulta Cómo lanzar una instancia en la Guía del EC2 usuario de Amazon.
Configure los grupos de seguridad para que la instancia acepte conexiones en los siguientes puertos TCP:
- SSH (puerto 22)
- HTTP (puerto 80)
- HTTPS (puerto 443)
Para obtener más información, consulta las reglas de los grupos de seguridad en la Guía del EC2 usuario de Amazon.
Instale el servidor web Apache. Para step-by-step obtener instrucciones, consulte el tutorial: Instalación de un servidor web LAMP en AL2. Solo es necesario el paquete httpd y sus dependencias; por lo que puede omitir las instrucciones relacionadas con PHP y MariaDB.
Para identificar y autenticar sitios web, la infraestructura de clave pública (PKI) de TLS se basa en el sistema de nombres de dominio (DNS). Para usar tu EC2 instancia para alojar un sitio web público, debes registrar un nombre de dominio para tu servidor web o transferir un nombre de dominio existente a tu EC2 servidor de Amazon. Para hacer esto, hay disponibles numerosos servicios de registro de dominios y alojamiento de DNS de terceros o bien puede utilizar Amazon Route 53.

Paso 1: Habilitar TLS en el servidor

Opción: completar este tutorial con la automatización

Para completar este tutorial utilizando la AWS Systems Manager automatización en lugar de las siguientes tareas, ejecuta el documento de automatización.

Este procedimiento le guiará por el proceso de configurar el TLS AL2 con un certificado digital autofirmado.

nota

Se puede utilizar un certificado autofirmado para las pruebas, pero no para la producción. Si expone a Internet su certificado autofirmado, los visitantes del sitio recibirán advertencias de seguridad.

Para habilitar TLS en un servidor

Conéctese a su instancia y confirme que Apache se está ejecutando.
```
[ec2-user ~]$ sudo systemctl is-enabled httpd
```
Si el valor devuelto no es "enabled", inicie Apache y configúrelo para que se inicie cada vez que arranque el sistema.
```
[ec2-user ~]$ sudo systemctl start httpd && sudo systemctl enable httpd
```
Para asegurarse de que todos los paquetes de software están actualizados, realice una actualización rápida del software en la instancia. Este proceso puede durar unos minutos, pero es importante realizarlo para asegurarse de que tiene las actualizaciones de seguridad y las correcciones de errores más recientes.

nota
La opción -y instala las actualizaciones sin necesidad de confirmación. Si le gustaría examinar las actualizaciones antes de la instalación, puede omitir esta opción.
```
[ec2-user ~]$ sudo yum update -y
```
Ahora que la instancia está actualizada y admite TLS instalando el módulo de Apache mod_ssl.
```
[ec2-user ~]$ sudo yum install -y mod_ssl
```
La instancia tiene ahora los archivos siguientes que utiliza para configurar el servidor seguro y crear un certificado para pruebas:
- /etc/httpd/conf.d/ssl.conf
  
  El archivo de configuración para mod_ssl. Contiene directivas que le indican a Apache donde encontrar claves de cifrado y certificados, las versiones de protocolo TLS que se permiten y los cifrados que se aceptan.
- /etc/pki/tls/certs/make-dummy-cert
  
  Un script para generar un certificado X.509 autofirmado y una clave privada para su host de servidor. Este certificado es útil para probar si Apache está configurado correctamente para utilizar TLS. Dado que no ofrece ninguna prueba de identidad, no se debería utilizar en producción. Si se utiliza en la producción, dispara advertencias en los navegadores web.

Ejecute el script para generar un certificado ficticio autofirmado y una clave para pruebas.


[ec2-user ~]$ cd /etc/pki/tls/certs
sudo ./make-dummy-cert localhost.crt

Esto genera un nuevo archivo localhost.crt en el directorio /etc/pki/tls/certs/. El nombre de archivo especificado coincide con el valor predeterminado que se ha asignado en la directiva SSLCertificateFile en /etc/httpd/conf.d/ssl.conf.

Este archivo contiene un certificado autofirmado y la clave privada del certificado. Apache requiere que el certificado y la clave estén en formato PEM que consta de caracteres ASCII codificados en Base64 contenidos entre las líneas "BEGIN" y "END", como en el siguiente ejemplo abreviado.


-----BEGIN PRIVATE KEY-----
MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQD2KKx/8Zk94m1q
3gQMZF9ZN66Ls19+3tHAgQ5Fpo9KJDhzLjOOCI8u1PTcGmAah5kEitCEc0wzmNeo
BCl0wYR6G0rGaKtK9Dn7CuIjvubtUysVyQoMVPQ97ldeakHWeRMiEJFXg6kZZ0vr
GvwnKoMh3DlK44D9dX7IDua2PlYx5+eroA+1Lqf32ZSaAO0bBIMIYTHigwbHMZoT
...
56tE7THvH7vOEf4/iUOsIrEzaMaJ0mqkmY1A70qQGQKBgBF3H1qNRNHuyMcPODFs
27hDzPDinrquSEvoZIggkDMlh2irTiipJ/GhkvTpoQlv0fK/VXw8vSgeaBuhwJvS
LXU9HvYq0U6O4FgD3nAyB9hI0BE13r1HjUvbjT7moH+RhnNz6eqqdscCS09VtRAo
4QQvAqOa8UheYeoXLdWcHaLP
-----END PRIVATE KEY-----                    

-----BEGIN CERTIFICATE-----
MIIEazCCA1OgAwIBAgICWxQwDQYJKoZIhvcNAQELBQAwgbExCzAJBgNVBAYTAi0t
MRIwEAYDVQQIDAlTb21lU3RhdGUxETAPBgNVBAcMCFNvbWVDaXR5MRkwFwYDVQQK
DBBTb21lT3JnYW5pemF0aW9uMR8wHQYDVQQLDBZTb21lT3JnYW5pemF0aW9uYWxV
bml0MRkwFwYDVQQDDBBpcC0xNzItMzEtMjAtMjM2MSQwIgYJKoZIhvcNAQkBFhVy
...
z5rRUE/XzxRLBZOoWZpNWTXJkQ3uFYH6s/sBwtHpKKZMzOvDedREjNKAvk4ws6F0
CuIjvubtUysVyQoMVPQ97ldeakHWeRMiEJFXg6kZZ0vrGvwnKoMh3DlK44D9dlU3
WanXWehT6FiSZvB4sTEXXJN2jdw8g+sHGnZ8zCOsclknYhHrCVD2vnBlZJKSZvak
3ZazhBxtQSukFMOnWPP2a0DMMFGYUHOd0BQE8sBJxg==
-----END CERTIFICATE-----

Los nombres y las extensiones de los archivos se utilizan simplemente por comodidad y no afectan al funcionamiento. Por ejemplo, puede llamar a un certificado cert.crt, cert.pem, o cualquier otro nombre de archivo, siempre que la directiva relacionada en el archivo ssl.conf utilice el mismo nombre.

nota

Cuando sustituya los archivos TLS predeterminados por sus propios archivos personalizados, asegúrese de que estén en formato PEM.

Abra el archivo /etc/httpd/conf.d/ssl.conf con el editor de texto que prefiera (como vim o nano) como usuario raíz y convierta en comentario la siguiente línea, porque el certificado ficticio autofirmado también contiene la clave. Si no convierte en comentario esta línea antes de completar el siguiente paso, se producirá un error al iniciar el servicio de Apache
```
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
```
Reinicie Apache.
```
[ec2-user ~]$ sudo systemctl restart httpd
```
nota
Asegúrese de que el puerto TCP 443 esté accesible en la EC2 instancia, tal y como se describió anteriormente.
Ahora el servidor web de Apache debería admitir HTTPS (HTTP seguro) en el puerto 443. Pruébelo introduciendo la dirección IP o el nombre de dominio completo de la EC2 instancia en la barra de direcciones URL del navegador con el prefijohttps://.

Dado que se va a conectar a un sitio con un certificado de host autofirmado que no es de confianza, es posible que el navegador envíe una serie de advertencias de seguridad. Omita las advertencias y vaya al sitio.

Si se abre la página de prueba de Apache predeterminada, eso significa que ha configurado correctamente TLS en el servidor. Ahora todos los datos que pasan entre el navegador y el servidor se cifran.

nota
Para evitar que los visitantes del sitio reciban pantallas de advertencia, tiene que obtener un certificado de confianza firmado por una CA que no solo cifre, sino que también le autentique públicamente como propietario del sitio.

Paso 2: Obtener un certificado firmado por una CA

Puede utilizar el siguiente proceso para obtener un certificado firmado por una CA:

Genere una solicitud de firma de certificado (CSR) de una clave privada
Envie el CSR a una autoridad de certificación (CA)
Obtenga un certificado de host firmado
Configure Apache para utilizar el certificado

Un certificado de host TLS X.509 autofirmado es idéntico, desde el punto de vista criptográfico, a un certificado firmado por una CA. La diferencia es social, no matemática. Una CA promete, como mínimo, validar la propiedad de un dominio antes de emitir un certificado para el solicitante. Cada navegador web contiene una lista de las personas CAs en las que el proveedor del navegador confía para ello. Un certificado X.509 consta principalmente de una clave pública, que se corresponde con la clave del servidor privado, y una firma de la CA que está vinculada criptográficamente a la clave pública. Cuando un navegador se conecta a un servidor web a través de HTTPS, el servidor presenta un certificado para que el navegador lo compare con su lista de usuarios de confianza CAs. Si el signatario está en la lista o se puede obtener acceso a él a través de una cadena de confianza compuesta por otros signatarios de confianza, el navegador negocia un canal de datos cifrados rápido con el servidor y carga la página.

Generalmente, los certificados cuestan dinero por el trabajo que supone la validación de las solicitudes, por lo que vale la pena comparar precios. Algunos CAs ofrecen certificados de nivel básico de forma gratuita. El más notable de ellos CAs es el proyecto Let's Encrypt, que también apoya la automatización del proceso de creación y renovación de certificados. Para obtener más información acerca del uso del certificado Let's Encrypt, consulte Obtenga Certbot.

Si planea ofrecer servicios de calidad comercial, AWS Certificate Manager es una buena opción.

La clave es hacer que el certificado del host esté subyacente. Desde 2019, grupos del gobierno y el sector recomiendan utilizar un tamaño mínimo de clave (módulo) de 2048 bits para claves RSA destinadas a proteger documentos hasta 2030. El tamaño de módulo predeterminado generado por OpenSSL es de 2048 bits, lo que es adecuado para su uso AL2 en un certificado firmado por una CA. En el siguiente procedimiento, se proporcionó un paso opcional para aquellos que deseasen una clave personalizada, por ejemplo, una con un módulo mayor o que utilice un algoritmo de cifrado diferente.

importante

Estas instrucciones para adquirir un certificado de host firmado por una CA no funcionan a menos que posea un dominio DNS alojado y registrado.

Para obtener un certificado firmado por una CA

Conéctese a su instancia y vaya a/etc/pki/tls/private/. Este es el directorio donde almacena la clave privada del servidor para TLS. Si prefiere utilizar una clave de host existente para generar el CSR, vaya al paso 3.
(Opcional) Genere una nueva clave privada. Estas son algunas ejemplos de configuraciones clave. Cualquiera de las claves resultantes funciona con el servidor web, pero son diferentes en el grado y el tipo de seguridad que implementan.
- Ejemplo 1: cree una clave de host RSA predeterminada. El archivo resultante, custom.key, es una clave privada RSA de 2048 bits.
```
[ec2-user ~]$ sudo openssl genrsa -out custom.key
```
- Ejemplo 2: cree una clave RSA más segura con un módulo mayor. El archivo resultante, custom.key, es una clave privada RSA de 4096 bits.
```
[ec2-user ~]$ sudo openssl genrsa -out custom.key 4096
```
- Ejemplo 3: cree una clave RSA cifrada de 4096 bits con protección con contraseña. El archivo resultante, custom.key, es una clave privada RSA de 4096 bits cifrada con AES-128.
  
  importante
  El cifrado de la clave ofrece mayor seguridad, pero dado que una clave cifrada necesita una contraseña, los servicios que dependen de él no se pueden iniciar automáticamente. Cada vez que utilice esta clave, tiene que proporcionar la contraseña (en el ejemplo anterior "abcde12345") en una conexión SSH.
```
[ec2-user ~]$ sudo openssl genrsa -aes128 -passout pass:abcde12345 -out custom.key 4096
```
- Ejemplo 4: cree una clave con un cifrado que no sea RSA. La criptogarfía RSA puede ser relativamente lenta debido al tamaño de sus claves públicas, que se basan en el producto de dos números primos grandes. Sin embargo, es posible crear claves para TLS que utilicen cifrados que no sean RSA. Las claves que están basadas en el cálculo matemático de curvas elípticas son más pequeñas y más rápidas desde el punto de vista informático a la hora de proporcionar un nivel de seguridad equivalente.
```
[ec2-user ~]$ sudo openssl ecparam -name prime256v1 -out custom.key -genkey
```
  El resultado es una clave privada de curva elíptica de 256 bits que utiliza prime256v1, una "curva con nombre" que admite OpenSSL. Su seguridad criptográfica es ligeramente mayor que la de una clave RSA de 2048 bits, de acuerdo con NIST.
  
  nota
  No todas CAs ofrecen el mismo nivel de compatibilidad con las elliptic-curve-based claves que con las claves RSA.
Asegúrese de que la nueva clave privada tenga una propiedad y unos permisos muy restrictivos (owner=root, group=root, solo para el propietario). read/write Los comandos serán como se muestra en el siguiente ejemplo.
```
[ec2-user ~]$ sudo chown root:root custom.key
[ec2-user ~]$ sudo chmod 600 custom.key
[ec2-user ~]$ ls -al custom.key
```
Los comandos anteriores devuelven el siguiente resultado.
```
-rw------- root root custom.key
```
Una vez que haya creado y configurado una clave satisfactoria, puede crear una CSR.

Para crear una CSR, utilice su clave preferida. El siguiente ejemplo utiliza custom.key.


[ec2-user ~]$ sudo openssl req -new -key custom.key -out csr.pem

OpenSSL abre un cuadro de diálogo y le pide la información que se muestra en la siguiente tabla. Todos los campos, excepto Common Name (Nombre común), son opcionales para un certificado de host de dominio validado básico.

Nombre	Descripción	Ejemplo
Country Name	La abreviatura ISO de dos letras del país.	US (= Estados Unidos)
State or Province Name	Nombre del país o de la región donde se ubica su organización. Este nombre no se puede abreviar.	Washington
Locality Name	La ubicación de su organización, como una ciudad.	Seattle
Organization Name	Nombre legal completo de su organización. No abrevie el nombre de la organización.	Empresa de ejemplo
Organizational Unit Name	Información adicional de la organización, si existe.	Departamento de ejemplo
Common Name	Este valor debe ser exactamente igual que la dirección web que espera que introduzcan los usuarios en un navegador. Normalmente, tiene que ser un nombre de dominio precedido por un nombre de host o alias con el formato `www.example.com`. En las pruebas con un certificado autofirmado y sin resolución de DNS, el nombre común puede consistir únicamente en el nombre de host. CAs también ofrecen certificados más caros que aceptan nombres comodín, como. `*.example.com`	www.example.com
Email Address	Dirección de correo electrónico del administrador del servidor.	alguien@ejemplo.com

Por último, OpenSSL le solicita una contraseña de comprobación opcional. Esta contraseña solo se aplica a la CSR y a las transacciones entre usted y la CA, así que siga las recomendaciones de la CA a este respecto y el otro campo opcional, es decir, el nombre de empresa opcional. La contraseña de comprobación de CSR no afecta al funcionamiento del servidor.

El archivo resultante, csr.pem contiene la clave pública, la firma digital de la clave pública y los metadatos que ha especificado.

Envíe la CSR a una CA. Este proceso suele consistir en abrir el archivo CSR en un editor de texto y copiar el contenido en un formulario web. En este momento, es posible que se le pida que proporcione uno o más nombres alternativos de sujeto (SANs) para incluirlos en el certificado. Si el nombre común es www.example.com, example.com sería un buen SAN y viceversa. Un visitante de su sitio que introdujese cualquiera de estos nombres no recibiría ningún error de conexión. Si su formulario web de CA lo permite, incluya el nombre común en la lista de SANs. Algunos lo CAs incluyen automáticamente.

Una vez aprobada su solicitud, recibe un nuevo certificado de host firmado por la CA. Es posible que también tenga que descargar un archivo de certificado intermedio que contiene los certificados adicionales necesarios para completar la cadena de confianza de la CA.
nota
La CA puede enviarle archivos en diversos formatos destinados a diversos fines. Para este tutorial, solo debe utilizar un archivo de certificado en formato PEM, que normalmente (aunque no siempre) está marcado con la extensión de archivo .pem o .crt. Si no tiene claro qué archivo debe utilizar, abra los archivos con un editor de texto y busque el que contiene uno o varios bloques que comienzan con la siguiente línea.
```
- - - - -BEGIN CERTIFICATE - - - - - 
```
El archivo debería terminar también con la siguiente línea.
```
- - - -END CERTIFICATE - - - - -
```
También puede probar el archivo en la línea de comandos, tal y como se muestra a continuación.
```
[ec2-user certs]$ openssl x509 -in certificate.crt -text
```
Verifique que estas líneas aparecen en el archivo. No utilice archivos que terminen con .p7b, .p7c o extensiones de archivos similares.
Coloque el nuevo certificado firmado por la CA y cualquier certificado intermedio en el directorio /etc/pki/tls/certs.

nota
Existen varias formas de cargar el nuevo certificado en la EC2 instancia, pero la más sencilla e informativa consiste en abrir un editor de texto (por ejemplo, vi, nano o bloc de notas) tanto en el ordenador local como en la instancia y, a continuación, copiar y pegar el contenido del archivo entre ellos. Necesita permisos de root [sudo] para realizar estas operaciones en la EC2 instancia. De esta forma, puede ver inmediatamente si hay algún problema con los permisos o las rutas. Procure, no obstante, no añadir más líneas al copiar el contenido o cambiarlo de ninguna forma.

Desde el /etc/pki/tls/certs directorio, comprueba que la configuración de propiedad, grupo y permisos del archivo coincida con los AL2 valores predeterminados altamente restrictivos (owner=root, group=root, solo para propietario). read/write En el siguiente ejemplo, se muestran los comandos que se utilizarán.
```
[ec2-user certs]$ sudo chown root:root custom.crt
[ec2-user certs]$ sudo chmod 600 custom.crt
[ec2-user certs]$ ls -al custom.crt
```
Estos comandos deberían devolver el siguiente resultado.
```
-rw------- root root custom.crt
```
Los permisos del archivo de certificado intermedio son menos estrictos (propietario=raíz, grupo=raíz, propietario puede escribir, grupo puede leer, mundo puede leer). En el siguiente ejemplo, se muestran los comandos que se utilizarán.
```
[ec2-user certs]$ sudo chown root:root intermediate.crt
[ec2-user certs]$ sudo chmod 644 intermediate.crt
[ec2-user certs]$ ls -al intermediate.crt
```
Estos comandos deberían devolver el siguiente resultado.
```
-rw-r--r-- root root intermediate.crt
```
Coloque la clave privada que utilizó para crear la CSR en el directorio /etc/pki/tls/private/.

nota
Hay varias formas de cargar la clave personalizada en la EC2 instancia, pero la forma más sencilla e informativa es abrir un editor de texto (por ejemplo, vi, nano o bloc de notas) tanto en el ordenador local como en la instancia y, a continuación, copiar y pegar el contenido del archivo entre ellos. Necesitas permisos de root [sudo] para realizar estas operaciones en la EC2 instancia. De esta forma, puede ver inmediatamente si hay algún problema con los permisos o las rutas. Procure, no obstante, no añadir más líneas al copiar el contenido o cambiarlo de ninguna forma.

Desde el /etc/pki/tls/private directorio, usa los siguientes comandos para comprobar que la configuración de propiedad, grupo y permisos del archivo coincide con los AL2 valores predeterminados altamente restrictivos (owner=root, group=root, solo para el propietario). read/write
```
[ec2-user private]$ sudo chown root:root custom.key
[ec2-user private]$ sudo chmod 600 custom.key
[ec2-user private]$ ls -al custom.key
```
Estos comandos deberían devolver el siguiente resultado.
```
-rw------- root root custom.key
```
Edite /etc/httpd/conf.d/ssl.conf para reflejar el nuevo certificado y los archivos de claves.
1. Proporcione la ruta y el nombre de archivo del certificado de host firmado por la CA en la directiva SSLCertificateFile de Apache:
```
SSLCertificateFile /etc/pki/tls/certs/custom.crt
```
2. Si ha recibido un archivo de certificado intermedio (intermediate.crt en este ejemplo), proporcione su ruta y nombre de archivo utilizando la directiva SSLCACertificateFile de Apache:
```
SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt
```
  nota
  Algunos CAs combinan el certificado del host y los certificados intermedios en un solo archivo, lo que hace innecesaria la directiva. SSLCACertificateFile Consulte las instrucciones que le ha proporcionado su CA.
3. Proporcione la ruta y el nombre de archivo de la clave privada (custom.key en este ejemplo) en la directiva SSLCertificateKeyFile de Apache:
```
SSLCertificateKeyFile /etc/pki/tls/private/custom.key
```
Guarde /etc/httpd/conf.d/ssl.conf y reinicie Apache.
```
[ec2-user ~]$ sudo systemctl restart httpd
```
Pruebe el servidor introduciendo su nombre de dominio en una barra de direcciones URL del navegador con el prefijo https://. El navegador debería cargar la página de prueba sobre HTTPS sin generar errores.

Paso 3: Probar y reforzar la configuración de seguridad

Cuando su TLS esté en funcionamiento y expuesto al público, debería probar su seguridad. Esta operación es muy sencilla con servicios online como Qualys SSL Labs, que realiza un análisis gratuito y exhaustivo de su configuración de seguridad. En función de los resultados, puede decidir si debe reforzar la configuración de seguridad predeterminada controlando los protocolos que acepta, qué cifrados prefiere y cuáles deben excluirse. Para obtener más información, consulte cómo Qualys formula sus puntuaciones.

importante

Las pruebas reales son cruciales para la seguridad del servidor. Cualquier pequeño error de configuración puede provocar graves infracciones de seguridad y la pérdida de datos. Dado que las prácticas de seguridad recomendadas cambian continuamente en respuesta a las investigaciones y a las continuas amenazas, es esencial realizar auditorías de seguridad periódicas para mantener una buena administración del servidor.

En el sitio de Qualys SSL Labs, introduzca el nombre de dominio completo de su servidor, con el formato www.example.com. Dos minutos después recibirá una puntuación (de A a F) de su sitio y un desglose detallado de los descubrimientos. En la siguiente tabla se resume el informe de un dominio con una configuración idéntica a la configuración predeterminada de Apache y con un certificado Certbot predeterminado. AL2

Calificación global	B
Certificate	100%
Compatibilidad del protocolo	95%
Intercambio de clave	70 %
Seguridad del cifrado	90%

Aunque la información general muestra que la configuración es correcta, el informe detallado indica algunos posibles problemas, indicados aquí en orden de gravedad:

✗ Algunos RC4 navegadores antiguos admiten el uso del cifrado. Un sistema de cifrado es el núcleo matemático de un algoritmo de cifrado. RC4Se sabe que, un sistema de cifrado rápido que se utiliza para cifrar los flujos de datos de TLS, tiene varios puntos débiles graves. A menos que tenga muy buenas razones para admitir navegadores heredados, debería deshabilitar esta opción.

✗ Se admiten las versiones antiguas de TLS. La configuración admite TLS 1.0 (ya obsoleto) y TLS 1.1 (en vías de ser declarado obsoleto). Desde 2018 solo se ha recomendado TLS 1.2.

✗ La confidencialidad directa no se admite por completo. La confidencialidad directa es una característica de los algoritmos que cifra mediante claves de sesión temporales (efímeras) que se obtienen de la clave privada. En la práctica, esto significa que los atacantes no pueden descifrar los datos HTTPS aunque posean una clave privada a largo plazo del servidor web.

Para corregir y preparar para el futuro la configuración de TLS

Abra el archivo de configuración /etc/httpd/conf.d/ssl.conf en un editor de texto y comente la línea siguiente introduciendo "#" al principio de la línea.
```
#SSLProtocol all -SSLv3
```
Añada la siguiente directiva:
```
#SSLProtocol all -SSLv3
SSLProtocol -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2
```
Esta directiva deshabilita explícitamente las versiones 2 y 3 de SSL, además de las versiones 1.0 y 1.1 de TLS. Ahora, el servidor se niega a aceptar conexiones cifradas con clientes que no utilicen versiones compatibles de TLS 1.2. El texto de la directiva transmite con más claridad a un lector humano las acciones que se han configurado que haga el servidor.

nota
Al deshabilitar las versiones 1.0 y 1.1 de TLS de esta manera, bloquea un pequeño porcentaje de navegadores web desactualizados y evita que obtengan acceso a su sitio.

Para modificar la lista de cifrados permitidos

En el archivo de configuración /etc/httpd/conf.d/ssl.conf, encuentre la sección con la directiva SSLCipherSuite y comente la línea existente al introducir “#· al principio de la línea.
```
#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
```
Especifique conjuntos de cifrado explícitos y un orden de cifrado que dé prioridad a la confidencialidad directa y evite los cifrados inseguros. La directiva SSLCipherSuite que se utiliza aquí se basa en el resultado del Mozilla SSL Configuration Generator, que personaliza una configuración de TLS al software específico que se ejecuta en su servidor. En primer lugar, determine sus versiones de Apache y OpenSSL utilizando la salida de los comandos siguientes.
```
[ec2-user ~]$ yum list installed | grep httpd

[ec2-user ~]$ yum list installed | grep openssl
```
Por ejemplo, si la información devuelta es Apache 2.4.34 y OpenSSL 1.0.2, lo introducimos en el generador. Después elegimos el modelo de compatibilidad «moderno», esto crea una directiva SSLCipherSuite que aplica seguridad de forma agresiva pero sigue funcionando para la mayoría de navegadores. Si el navegador no admite la configuración moderna, puede actualizar el software o elegir la configuración «intermedia» en su lugar.
```
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:
ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
```
Los cifrados con la calificación más alta tienen ECDHE en su nombre, una abreviatura de Elliptic Curve Diffie-Hellman Ephemeral. El término ephemeral indica confidencialidad directa. Como subproducto, estos cifrados no son compatibles. RC4

Le recomendamos utilizar una lista de cifrados explícita en lugar de utilizar valores predeterminados o directivas escuetas cuyo contenido no es visible.

Copie la directiva generada e /etc/httpd/conf.d/ssl.conf.

nota
Aunque aquí se muestran en varias líneas para que la lectura sea más sencilla, la directiva debe estar en una sola línea cuando se copia a /etc/httpd/conf.d/ssl.conf con un solo símbolo de dos puntos (sin espacios) entre los nombres de los cifrados.
Por último, cancele el comentario de la siguiente línea eliminando el "#" al principio de la línea.
```
#SSLHonorCipherOrder on
```
Esta directiva obliga al servidor a preferir cifrados con una calificación alta, incluidos (en este caso) los que admiten la confidencialidad directa. Con esta directiva activada, el servidor intenta establecer una conexión muy segura antes de recurrir a los cifrados permitidos con menor seguridad.

Después de completar ambos procedimientos, guarde los cambios en /etc/httpd/conf.d/ssl.conf y reinicie Apache.

Si vuelves a probar el dominio en los laboratorios SSL de Qualys, verás que la RC4 vulnerabilidad y otras advertencias han desaparecido y el resumen será similar al siguiente.

Calificación global	A
Certificate	100%
Compatibilidad del protocolo	100%
Intercambio de clave	90%
Seguridad del cifrado	90%

En cada actualización de OpenSSL, se introducen nuevos cifrados y se elimina la compatibilidad con los antiguos. Conserve su EC2 AL2 instancia up-to-date, esté atento a los anuncios de seguridad de OpenSSL y manténgase alerta a las noticias de nuevos ataques de seguridad en la prensa técnica.

Solución de problemas

Mi servidor web Apache no se inicia a menos que especifique una contraseña

Es el comportamiento esperado si ha instalado una clave de servidor privado cifrada y protegida mediante contraseña.

Puede eliminar el cifrado y el requisito de contraseña de la clave. Suponiendo que tienes una clave RSA cifrada privada llamada custom.key en el directorio predeterminado y que la contraseña que contiene es la contraseñaabcde12345, ejecuta los siguientes comandos en la EC2 instancia para generar una versión no cifrada de la clave.
```
[ec2-user ~]$ cd /etc/pki/tls/private/
[ec2-user private]$ sudo cp custom.key custom.key.bak
[ec2-user private]$ sudo openssl rsa -in custom.key -passin pass:abcde12345 -out custom.key.nocrypt 
[ec2-user private]$ sudo mv custom.key.nocrypt custom.key
[ec2-user private]$ sudo chown root:root custom.key
[ec2-user private]$ sudo chmod 600 custom.key
[ec2-user private]$ sudo systemctl restart httpd
```
Ahora, Apache debería iniciarse sin solicitarle una contraseña.
Recibo errores cuando ejecuto sudo yum install -y mod_ssl.

Al instalar los paquetes necesarios para SSL, puede que aparezcan errores similares a los siguientes:
```
Error: httpd24-tools conflicts with httpd-tools-2.2.34-1.16.amzn1.x86_64
Error: httpd24 conflicts with httpd-2.2.34-1.16.amzn1.x86_64
```
Por lo general, esto significa que la EC2 instancia no se está ejecutando. AL2 Este tutorial solo admite instancias recién creadas a partir de una AMI de AL2 oficial.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Instale LAMP en AL2

Aloja un WordPress blog en AL2