Apache + SSL. Alejandro Valdés Jimenez. avaldes@utalca.cl

Transcripción

1 Alejandro Valdés Jimenez

2 Tabla de contenidos 1. Objetivos Introducción SSL Generación de certificados Creando nuestra CA Creando nuestro CSR Creando nuestro CRT Servidor web Apache Configuración...10 ii

3 1. Objetivos El alumno al finalizar la experiencia deberá ser capaz de: Generar certificados (CSR,CRT) Configurar un servidor web seguro Verificar como es la comunicación entre el servidor web y un cliente. 2. Introducción En esta experiencia veremos como generar los certificados digitales para permitir la comunicación de segura entre un servidor web (Apache) y un cliente cualquiera (Firefox, IExplorer, etc). Realizando algunas pruebas con ethereal vamos comprobar que la información que viaja entre el cliente y el servidor, una vez establecida la conexión viaja en modo seguro, lo que garantiza la confidencialidad de los datos. El laboratorio se realizará utilizando una máquina con Linux como sistema operativo y GNU/Debian como distribución. Los paquetes necesarios y que deben estar instalados son: openssl apache apache-common libapache-mod-ssl 3. SSL Secure Sockets Layer (SSL) proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, solo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas, la falsificación de la identidad del remitente y mantener la integridad del mensaje. 4. Generación de certificados Trabajar con SSL nos permite que todos los datos que se transfieren entre el cliente y el servidor vayan cifrados. Antes de comenzar el trabajo, debemos entender algunos términos: RSA Private Keys: Archivo digital que podemos usar para descifrar mensajes que nos envian. Tiene una parte pública (que distribuimos con nuestro certificado), que permite a la gente cifrar los mensajes 3

4 que nos envia. Este mecanismo de clave asimétrica nos asegura que los mensajes cifrados con la clave pública (que distribuimos a mucha gente) sólo pueden ser descifrados con la clave privada (que sólo conocemos nosotros). Certificate Signing Request (CSR): Es un archivo digital que contiene nuestra clave pública y nuestro nombre. Nos sirve para ser enviado al CA para que nos firme y acredite. Certification Authority (CA): Entidad de confianza encargada de firmar certificados (CSR). Certificate (CRT): Una vez la CA a firmado el CSR, obtenemos un CRT. Este archivo contiene nuestra clave pública, nuestro nombre, el nombre del CA, y está firmado digitalmente por la CA. De esta forma otras entidades pueden verificar esta firma para comprobar la veracidad del certificado. Es decir, si obtenemos un certificado que esta firmado por una CA que nosotros consideramos de confianza, podemos confiar también en la autenticidad del certificado. El procedimiento de creación de certificados se puede resumir en la Figura 1. Figura 1. Generación certificados 4.1. Creando nuestra CA Existen numerosas CAs, que previo pago pueden firmar nuestro CSR. Estas son muldialmente conocidas de manera que cualquier cliente podrá conectarse con confianza a nuestro servidor. VeriSign es un ejemplo de CA. Para nuestro propósito, crearemos nuestro propia CA, sin embargo para que nuestro certificado tenga validez enla red debieramos enviar nuestro CSR a un CA válido. Para crear los certificados necesitamos tener instalado el paquete openssl, el que nos provee de un script para hacer nuestro trabajo: /usr/lib/ssl/misc/ca.sh El Ejemplo 1 muestra los pasos como crear nuestro CA. Debe ejecutar el script como superusuario. La ruta puede variar pero por orden es mejor hacerlo como en el ejemplo. Ejemplo 1. Creando nuestro CA primate:/etc/apache# /usr/lib/ssl/misc/ca.sh -newca CA certificate filename (or enter to create) 4

5 Making CA certificate... Generating a 1024 bit RSA private key writing new private key to./democa/private/./cakey.pem Enter PEM pass phrase: Verifying - Enter PEM pass phrase: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank Country Name (2 letter code) [CL]:CL State or Province Name (full name) [Talca]:Talca Locality Name (eg, city) [Talca]:Talca Organization Name (eg, company) [Universidad de Talca]:Universidad de Talca Organizational Unit Name (eg, section) [DITyM - RSS]:DITyM - RSS Common Name (eg, YOUR name) []:Autoridad Certificadora UTALCA Address [rss@utalca.cl]:avaldes@utalca.cl Please enter the following extra attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /usr/lib/ssl/openssl.cnf Enter pass phrase for./democa/private/./cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 0 (0x0) Validity Not Before: May 17 19:09: GMT Not After : May 16 19:09: GMT Subject: countryname = CL stateorprovincename = Talca organizationname = Universidad de Talca organizationalunitname = DITyM - RSS commonname = Autoridad Certificadora UTALCA address = avaldes@utalca.cl X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 56:F2:B7:3B:61:C8:DD:D8:19:4C:40:0C:B5:03:4F:E0:03:9B:72:C7 X509v3 Authority Key Identifier: keyid:56:f2:b7:3b:61:c8:dd:d8:19:4c:40:0c:b5:03:4f:e0:03:9b:72:c7 5

6 Certificate is to be certified until May 16 19:09: GMT (1095 days) Write out database with 1 new entries Data Base Updated Al ejecutar el script, nos hará las siguientes preguntas: Nombre del certificado de la CA o que pulsemos "enter" para crearlo. En nuestro caso pulsamos "enter" para crear uno nuevo. Una "pass phrase", que nos vuelve a preguntar para confirmarla. Esta será la clave para acceder a la clave privada (la clave privada se guarda cifrada). Cierta información para añadir al certificado, código del país, provincia, localidad, etc. Una vez terminada la ejecución del script podemos ver en la carpeta actual que aparece una nueva carpeta, democa, la que tiene la siguiente estructura: -rw-r--r-- 1 root root :09 cacert.pem -rw-r--r-- 1 root root :09 careq.pem drwxr-xr-x 2 root root :08 certs drwxr-xr-x 2 root root :08 crl -rw-r--r-- 1 root root :09 index.txt -rw-r--r-- 1 root root :09 index.txt.attr -rw-r--r-- 1 root root :08 index.txt.old drwxr-xr-x 2 root root :09 newcerts drwxr-xr-x 2 root root :08 private -rw-r--r-- 1 root root :09 serial -rw-r--r-- 1 root root :08 serial.old El archivo cacert.pem contiene el certificado de la CA, el que luego usaremos para firmar nuesto CSR. Los subdirectorios están vacios, a excepción de private, donde encontramos el archivo cakey.pem,el cual es la clave del CA Creando nuestro CSR Ahora crearemos nuestro CSR, el cual debería firmar un autentico CA, pero en este caso lo firmaremos nosotros con nuestra propia CA que generamos anteriormente. Primero, creamos la clave para nuestro servidor Apache, la clave será triple-des y en formato PEM. Crearemos una carpeta para alojar los archivos, la llamaremos cert. Al ejecutar el script se nos pedirá ingresar una pass phrase y luego confirmarla. primate:~/cert# openssl genrsa -des3 -out servidor-prueba.key 1024 Generating RSA private key, 1024 bit long modulus 6

7 e is (0x10001) Enter pass phrase for servidor-prueba.key: Verifying - Enter pass phrase for servidor-prueba.key: Una vez creada la clave del servidor, generamos el CSR usando la clave generada anteriormente. primate:~/cert# openssl req -new -days 365 -key servidor-prueba.key -out servidor-prueba.c Enter pass phrase for servidor-prueba.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter., the field will be left blank Country Name (2 letter code) [CL]:CL State or Province Name (full name) [Talca]:Talca Locality Name (eg, city) [Talca]:Talca Organization Name (eg, company) [Universidad de Talca]:Universida de Talca Organizational Unit Name (eg, section) [DITyM - RSS]:DITyM - RSS Common Name (eg, YOUR name) []:primates.utalca.cl Address [rss@utalca.cl]:avaldes@utalca.cl Please enter the following extra attributes to be sent with your certificate request A challenge password []: An optional company name []: Lo primero que nos pedirá será la pass phrase que pusimos a la clave en el punto anterior. Luego nos pedirá los datos que queremos agregar a nuestro certificado. Aquí, cuando nos consulte por el Common Name debemos poner el nombre completo del dominio del servidor, en nuestro caso colocaremos primates.utalca.cl Creando nuestro CRT El último paso es firmar el CSR para conseguir el CRT. Para esto volvemos a usar el script CA.sh. Necesitamos modificar un poco el archivo de configuracion /usr/lib/ssl/openssl.cnf y cambiar la línea: ###dir =./democa # Where everything is kept dir = /etc/apache/democa # Where everything is kept Además, creamos un enlace simbólico a nuestro CSR, ya que el script tiene algunos datos configurados en duro. 7

8 primate:~/cert# ln -s servidor-prueba.csr newreq.pem Ahora ejecutamos el escript para firmar el certificado: primate:~/cert# /usr/lib/ssl/misc/ca.sh -signreq Using configuration from /usr/lib/ssl/openssl.cnf Enter pass phrase for /etc/apache/democa/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 1 (0x1) Validity Not Before: May 17 20:02: GMT Not After : May 17 20:02: GMT Subject: countryname = CL stateorprovincename = Talca localityname = Talca organizationname = Universida de Talca organizationalunitname = DITyM - RSS commonname = primates.utalca.cl address = avaldes@utalca.cl X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: EE:03:98:D1:D0:DC:D5:F3:77:98:7C:35:E7:0E:09:DD:95:D9:36:7D X509v3 Authority Key Identifier: keyid:56:f2:b7:3b:61:c8:dd:d8:19:4c:40:0c:b5:03:4f:e0:03:9b:72:c7 Certificate is to be certified until May 17 20:02: GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1withrsaencryption Issuer: C=CL, ST=Talca, O=Universidad de Talca, OU=DITyM - RSS, CN=Autoridad Certificadora UTALCA/ Address=avaldes@utalca.cl Validity Not Before: May 17 20:02: GMT Not After : May 17 20:02: GMT Subject: C=CL, ST=Talca, L=Talca, O=Universida de Talca, OU=DITyM - RSS, CN=primates.utalca.cl/ Address=avaldes@utalca.cl 8

9 Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:ca:dc:f3:cf:68:85:4d:cd:ce:8f:e9:ed:4e:67: 0f:58:ee:28:8a:59:16:cc:71:31:f6:f5:4b:04:3d: 17:1f:fc:6f:c9:e8:8a:99:b2:c3:2e:b6:66:5e:c0: 67:8a:3f:95:d7:4b:cd:40:34:ee:ff:da:ce:a8:ce: 70:30:b7:78:22:9f:0c:f0:25:29:bc:80:84:cc:6c: 2f:ba:ca:dd:a7:ef:ba:24:14:62:6e:96:f9:79:22: ee:4a:93:96:81:33:16:0b:5d:bf:6d:5b:55:ff:f3: 86:2b:cb:ad:9c:1f:ff:72:57:e8:65:ad:6f:30:39: 4a:dc:c4:55:d3:1c:0f:02:f1 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: EE:03:98:D1:D0:DC:D5:F3:77:98:7C:35:E7:0E:09:DD:95:D9:36:7D X509v3 Authority Key Identifier: keyid:56:f2:b7:3b:61:c8:dd:d8:19:4c:40:0c:b5:03:4f:e0:03:9b:72:c7 Signature Algorithm: sha1withrsaencryption 70:b6:82:5d:a3:8a:6b:2a:2f:46:e5:b1:01:25:a6:d6:e1:80: f6:9c:8b:d0:e3:81:37:e3:3c:fe:4d:86:d3:b1:19:63:14:36: cb:e2:70:b9:21:59:93:e7:35:15:d3:d7:55:6e:0a:74:8e:1b: f5:be:da:a3:1e:a7:9f:10:22:15:ef:62:6e:9c:7e:ad:50:e4: a4:f6:98:19:5b:d5:00:61:e1:4d:8f:6d:f7:a1:ef:ac:62:b1: 1d:a9:25:3a:d7:b1:7c:30:a0:b7:81:4d:82:76:d4:6a:b4:ac: b4:34:43:6a:37:6b:1c:5b:fd:99:29:98:4f:a7:88:3e:e1:d8: a6: BEGIN CERTIFICATE----- MIIDMDCCApmgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBnTELMAkGA1UEBhMCQ0wx DjAMBgNVBAgTBVRhbGNhMR0wGwYDVQQKExRVbml2ZXJzaWRhZCBkZSBUYWxjYTEU MBIGA1UECxMLRElUeU0gLSBSU1MxJzAlBgNVBAMTHkF1dG9yaWRhZCBDZXJ0aWZp Y2Fkb3JhIFVUQUxDQTEgMB4GCSqGSIb3DQEJARYRYXZhbGRlc0B1dGFsY2EuY2ww HhcNMDYwNTE3MjAwMjM0WhcNMDcwNTE3MjAwMjM0WjCBoDELMAkGA1UEBhMCQ0wx DjAMBgNVBAgTBVRhbGNhMQ4wDAYDVQQHEwVUYWxjYTEcMBoGA1UEChMTVW5pdmVy c2lkysbkzsbuywxjyteumbiga1uecxmlrelueu0glsbsu1mxgzazbgnvbamtenby aw1hdgvzlnv0ywxjys5jbdegmb4gcsqgsib3dqejaryryxzhbgrlc0b1dgfsy2eu Y2wwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMrc889ohU3Nzo/p7U5nD1ju KIpZFsxxMfb1SwQ9Fx/8b8noipmywy62Zl7AZ4o/lddLzUA07v/azqjOcDC3eCKf DPAlKbyAhMxsL7rK3afvuiQUYm6W+Xki7kqTloEzFgtdv21bVf/zhivLrZwf/3JX 6GWtbzA5StzEVdMcDwLxAgMBAAGjezB5MAkGA1UdEwQCMAAwLAYJYIZIAYb4QgEN BB8WHU9wZW5TU0wgR2VuZXJhdGVkIENlcnRpZmljYXRlMB0GA1UdDgQWBBTuA5jR 0NzV83eYfDXnDgndldk2fTAfBgNVHSMEGDAWgBRW8rc7Ycjd2BlMQAy1A0/gA5ty xzanbgkqhkig9w0baqufaaobgqbwtojdo4prki9g5bebjabw4yd2nivq44e34zz+ TYbTsRljFDbL4nC5IVmT5zUV09dVbgp0jhv1vtqjHqefECIV72JunH6tUOSk9pgZ W9UAYeFNj233oe+sYrEdqSU617F8MKC3gU2CdtRqtKy0NENqN2scW/2ZKZhPp4g+ 4dimlQ== -----END CERTIFICATE

10 Signed certificate is in newcert.pem Nos pedirá la pass phrase que usamos para crear el certificado del CA. Nos mostrará información de nuestro certificado y nos preguntará si queremos firmar el certificado. Luego nos preguntará si queremos hacer commit de los certificados firmados, es decir, si queremos confirmar la operación. Al finalizar, habrá generado el archivo newcert.pem, el quer renombraremos como servidor-prueba.crt. Por último, debemos mover nuestros archivos a otros directorios, en los que apache contiene los certificados, es un tema de orden. primate:~/cert# mv servidor-prueba.key /etc/apache/ssl.key/ primate:~/cert# mv servidor-prueba.crt /etc/apache/ssl.crt/ 5. Servidor web Apache El servidor HTTP Apache es un servidor HTTP de código abierto para plataformas Unix (BSD, GNU/Linux, etcétera), Windows y otras, que implementa el protocolo HTTP/1.1 (RFC 2616) y la noción de sitio virtual. Cuando comenzó su desarrollo en 1995 se basó inicialmente en código del popular NCSA HTTPd 1.3, pero más tarde fue reescrito por completo. Su nombre se debe a que originalmente Apache consistía solamente en un conjunto de parches a aplicar al servidor de NCSA. Era, en inglés, a patchy server (un servidor parcheado). El servidor Apache se desarrolla dentro del proyecto HTTP Server (httpd) de la Apache Software Foundation. Apache presenta entre otras características mensajes de error altamente configurables, bases de datos de autenticación y negociado de contenido, pero fue criticado por la falta de una interfaz gráfica que ayude en su configuración. La arquitectura del servidor Apache es muy modular. El servidor consta de una sección core y mucha de la funcionalidad que podría considerarse básica para un servidor web es provista por módulos. Algunos de estos son: mod_php mod_auth_ldap mod_ssl 5.1. Configuración Apache debe tener habilitado el módulo ssl_module para trabajar con SSL, el paquete a instalar es libapache-mod-ssl. 10

11 Para habilitar que Apache atienda en modo seguro, debemos añadir las siguientes lineas a su archivo de configuración /etc/apache/httpd.conf. <IfModule mod_ssl.c> Listen 443 AddType application/x-x509-ca-cert.crt SSLSessionCache dbm:/var/run/ssl_scache SSLSessionCacheTimeout 300 SSLLog /var/log/apache/ssl_engine_log SSLLogLevel debug # SSL Virtual Host Context <VirtualHost _default_:443> ServerAdmin avaldes@utalca.cl DocumentRoot /var/www SSLEngine on SSLCertificateFile /etc/apache/ssl.crt/servidor-prueba.crt SSLCertificateKeyFile /etc/apache/ssl.key/servidor-prueba.key SSLVerifyClient none SSLVerifyDepth 2 SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire <Files ~ "\.(cgi shtml)$"> SSLOptions +StdEnvVars </Files> <Directory "/usr/lib/cgi-bin"> SSLOptions +StdEnvVars </Directory> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog /var/log/apache/ssl_request.log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> Reiniciamos nuestro servidor Apache con el comando /etc/init.d/apache restart Para verificar si estamos atendiendo en el puerto seguro de Apache ejecutamos: primate:/etc/apache# nmap localhost Starting Nmap 4.03 ( ) at :06 CLT Interesting ports on localhost ( ): (The 1672 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 80/tcp open http 443/tcp open https Abrimos un browser, firefox por ejemplo, e ingresamos la URL Para que resuelva nuestro dominio de forma local, agregaremos la siguiente línea al archivo /etc/hosts: 11

12 localhost primate primates.utalca.cl Cuando visitemos el sitio va a aparecer un mensaje indicando si quiere aceptar el certificado (ver Figura 2, ya sea de manera temporal o permanentemente, también puede rechazarlo, con lo cual no podrá ver el sitio. También tiene la opción de ver el certificado para averiguar que CA firmó el certificado del servidor. Finalmente podrá visualizar el sitio a través de una conexión segura (Figura 3). Para ver el contenido del certificado aceptado (ver Figura 4), podemos visualizarlo al momento de la consulta o luego, una vez aceptado el certificado haciendo click en la barra de estado, en la parte donde aparece un "candado". Figura 2. Consulta por certificados Figura 3. Sitio seguro 12

13 Figura 4. Ver certificados 13