SMR2SR: SERVIDOR WEB

ACTIVIDADE 3: CONEXIÓNS CIFRADAS CON SSL

Nas actividades anteriores instalamos e configuramos un servidor Apache HTTP e despregamos nel dous sitios
web. Nesta actividade imos ver como preparar un sitio web para que envíe a información cifrando os datos
cunha chave autoasinada.

Para isto imos preparar dous servidores web co mesmo nome: www.srvweb.com
Para o primeiro estableceremos:
• Acceso cifrado por SSL polo porto 443
• Directorio raíz en /var/www/html/segura
• O arquivo index.html conterá a frase: “Acceso seguro a www.srvweb.com”
Para o segundo estableceremos:
• Acceso non cifrado por SSL polo porto 80
• Directorio raíz en /var/www/html/insegura
• O arquivo index.html conterá a frase: “Acceso NON seguro a www.srvweb.com”
O módulo que establece conexións cifradas en Apache é “mod_ssl”.

Seguiremos os seguintes pasos:

1. Imos traballar co superusuario: escribimos sudo su e a chave correspondente.

2. Creamos os directorios raíz de ambos servidores:
cd /var/www/html
mkdir segura
mkdir insegura

3. Creamos os ficheiros index.html en cada directorio raíz (podemos copiar o da actividade anterior e
modificalo):

nano segura/index.html
Contido:
<!DOCTYPE html>
<html>
<head>
<title>Apache con SSL</title>
</head>
<body>
<h1>Acceso con conexión segura SSL</h1>
<p>Cifrado SSL, escoita polo porto 443</p>
</body>
</html>

nano insegura/index.html
Contido:
<!DOCTYPE html>
<html>
<head>
<title>Apache sen SSL</title>
</head>
<body>
<h1>Acceso sen conexión segura SSL</h1>
<p>Cifrado SSL, escoita polo porto 80</p>
</body>
</html>
4. Activamos o módulo encargado das conexións cifradas en Apache, mod_ssl.
Podemos crear manualmente un enlace simbólico ou utilizar o comando a2enmod.
a2enmod ssl

Ao activar o módulo indicaranos onde buscar para crear un certificado autoasinado co que se cifrarán
os datos enviados.

Despois haberá que reiniciar apache:

service apache2 restart

5. Creamos o certificado autoasinado:

Primeiro crearemos un directorio /etc/apache2/ssl no que gardar os certificados:
mkdir /etc/apache2/ssl

Para crear o certificado autofirmado usaremos o comando make-ssl-cert cos parámetros contenidos
no arquivo /usr/share/ssl-cert/ssleay.cnf.
make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/certificado.pem

Ao crealo faranos varias preguntas, que podemos contestar ou deixar en branco.

Ao rematar teremos un certificado certificado.pem e un enlace simbólico ao mesmo.

Pega unha captura que mostre o contido do directorio /etc/apache2/ssl

6. Integraremos o certificado na configuración do noso virtualhost:

Primeiro comprobamos no ficheiro /etc/apache2/ports.conf se a escoita polo poro 443 está activa:
…
<IfModule ssl_module>
Listen 443
</IfModule ssl_module>
…

Por defecto a escoita polo porto 443 estará activa se o módulo ssl está cargado, o que é o noso caso
dado que o cargamos no paso 4.

7. Crearemos o host virtual, indicando que certificado debe usar e onde está:
Crearemos o ficheiro /etc/apache2/sites-available/www.srvweb.com.conf coa definición dos dous
sitios virtuais:

nano /etc/apache2/sites-available/www.srvweb.com.conf
Contido:
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/certificado.pem
ServerAdmin marinhauser@smr2sr.eu
ServerName www.srvweb.com
DocumentRoot /var/www/html/segura/
DirectoryIndex index.html
</VirtualHost>
<Directory /var/www/html/segura>
Options none
 Require all granted
SSLRequireSSL
</Directory>

<VirtualHost *:80>
ServerAdmin marinhauser@smr2sr.eu
ServerName www.srvweb.com
DocumentRoot /var/www/html/insegura/
DirectoryIndex index.html
</VirtualHost>
<Directory /var/www/html/insegura>
Options Indexes FollowSymLinks Multiviews
Require all granted
</Directory>

Activamos o sitio e reiniciamos o servidor:

a2ensite www.srvweb.com.conf
service apache2 restart

Despois, para simplificar as cousas, imos desactivar o sitio web por defecto e os creados nas
actividades anteriores, e reiniciar o servidor:
a2dissite 000-default.conf
a2dissite sitiowebun.conf
a2dissite sitiowebdous.conf
service apache2 restart

8. Para probar o servidor utilizaremos a máquina cliente e abriremos dous navegadores, nos que
escribimos: http://192.168.20.1 e https://192.168.20.1 (non é necesario indicar o directorio porque son
os únicos sitios que escoitan polos portos 80 e 443 respectivamente).
No caso da páxina segura, por tratarse dunha páxina autoasinada sen unha autoridade de certificación
que a respalde, o navegador por defecto non confía nel, e deberemos confirmar que queremos
continuar cara a páxina.
Observaremos como en cada caso mostra a páxina correspondente.
Pega dúas capturas de pantalla mostrando cada un dos sitios web presentados no navegador do
cliente.
9. Finalmente podemos configurar o servidor DNS co novo servidor para acceder indicando o dominio en
vez da IP.
Pega dúas capturas de pantalla mostrando cada un dos sitios web presentados no navegador do
cliente, accedendo a eles utilizando o dominio en vez da IP.