Base de conocimientos

Esta guía explica cómo exportar un certificado SSL Desde el Manager Infomaniak.

Preámbulo

• La descarga del certificado produce un archivo en formato .zip.
• El archivo contiene los archivos .key y .crt.
• Se recomienda almacenar este certificado y su clave privada en un lugar seguro, ya que esta última podría permitir el acceso a sus datos cifrados:
  

Exportar certificado SSL

Para acceder a la gestión de sus certificados:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesitas ayuda?).
2. Haga clic directamente en el nombreasignado al producto afectado.
3. Haga clic en el menú de acción ⋮ a la derecha del objeto en cuestión en el cuadro que aparece.
4. Elija Exportar certificado y siga las instrucciones para descargar el archivo:
   

Esta guía explica cómo interpretar correctamente la información detallada facilitada por Qualys SSL Labs (https://www.ssllabs.com/ssltest/) que a veces pueden parecer técnicas o alarmantes sin contexto adecuado.

Preámbulo

• Qualys SSL Labs es una herramienta de análisis ampliamente utilizada para evaluar la configuración SSL/TLS de los sitios web.
• Las advertencias en sus informes son a menudo sólo detalles técnicos sin impacto en la seguridad o SEO del sitio.

Certificados múltiples en los informes SSL Labs

Cuando SSL Labs analiza un sitio, puede mostrar varios certificados numerados (certificado #1, certificado #2, etc.). Esto ocurre por varias razones:

1. Certificado principal (#1): El certificado presentado cuando se utiliza el SNI (Server Name Indication).
   • El SNI es una extensión TLS que permite a un servidor alojar varios certificados SSL para diferentes dominios en una misma dirección IP. Cuando un navegador se conecta, indica el nombre de dominio que desea adjuntar.
2. Certificado secundario (#2): El certificado presentado cuando el SNI no se utiliza o cuando se conecta directamente con IP.

Una indicación "No SNI" en el certificado #2 no es un error Simplemente significa que SSL Labs ha probado lo que sucede cuando un cliente se conecta sin proporcionar información SNI. En tal caso:

• El servidor sirve un certificado de emergencia (a menudo un certificado genérico o de vista previa).
• Esta situación afecta únicamente a clientes muy obsoletos que no soportan el SNI.
• Los navegadores modernos utilizan el SNI y, por lo tanto, recibirán el certificado #1.

Problemas de cadena de certificados

"Chain issues: Incorrect order, Extra certs, Contains anchor"

Estas advertencias no significan necesariamente que el certificado sea defectuoso:

• Incorrect order: Los certificados intermedios no se presentan en el orden óptimo.
• Extra certs: Se incluyen certificados adicionales no necesarios.
• Contains anchor: El certificado raíz está incluido en la cadena.

El protocolo TLS permite omitir el certificado raíz ya que normalmente ya está presente en las tiendas de certificados de los navegadores. Incluirlo no es un error, es una redundancia.

“Alternative names mismatch”

Para el certificado de emergencia (#2), la advertencia "MISMATCH" es normal porque:

• Este certificado está diseñado para otro dominio (preview.infomaniak.website).
• Solo se presenta cuando no se utiliza el SNI.
• El navegador que recibe este certificado lo identificaría como no correspondiente al dominio solicitado, pero esto no afecta a las conexiones normales con SNI.

Con respecto a las preocupaciones de SEO:

• Google y otros motores de búsqueda utilizan navegadores modernos que apoyan el SNI.
• Ellos reciben el certificado #1 que es válido para su dominio.
• Las advertencias sobre el certificado #2 no afectan a la referencia.
• Sólo problemas con el certificado principal (#1) podrían afectar al SEO.

Esta configuración es ideal para un alojamiento compartido en el que varios sitios comparten la misma infraestructura, con un certificado de previsualización que sirve de solución de retroceso.

Esta guía explica cómo añadir dos Certificados SSL EV o DV diferentes en un mismo sitio.

Preámbulo

• Como no es posible instalar dos certificados SSL en un mismo sitio, es necesario crear dos sitios idénticos.

Creación del segundo sitio

Requisitos previos

• Eliminar cualquier posible nombre de dominio alias de su sitio web.

Para acceder al alojamiento web para añadir un sitio:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesitas ayuda?).
2. Haga clic directamente en el nombreasignado al producto afectado.
3. Haga clic en el botón Añadir sitio:
   
4. Continúe sin instalar ninguna herramienta.
5. Elija entre el uso de un nombre de dominio o un subdominio.
6. Indique el nombre del dominio o del subdominio.
7. Haga clic en Opciones avanzadas.
8. Active (o no) el certificado SSL Let's Encrypt en el sitio web futuro.
9. Marque la casilla Definir la ubicación manualmente.
10. Elija la misma ubicación que la del sitio principal:
    
11. Elija la misma versión PHP que el sitio principal:
12. Haga clic en el botón azul Siguiente para iniciar la creación del sitio.

Instalar el certificado SSL

Una vez que se crea el segundo sitio (toda adición / modificación puede tomar hasta 48 horas para propagarse), podrá instalar un certificado SSL (si ha optado por no instalar el certificado en el punto 8 supra).

Para acceder a la gestión del sitio web:

1. Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesitas ayuda?).
2. Haga clic directamente en el nombreasignado al producto afectado.
3. Haga clic en Certificados SSL en el menú lateral izquierdo.
4. Haga clic en el botón azul Instalar un certificado SSL y seguir el procedimiento.

Esta guía explica cómo obtener un certificado SSL de tipo .p12 2048 bits , útil especialmente para SAP, Salesforce, etc. desde la infraestructura Infomaniak.

Obtener un certificado de tipo p.12

Un certificado de tipo p.12 es un contenedor que incluye el certificado, las CA intermedias y la propia clave.

Es posible realizar por sí mismo este tipo de certificado a partir de lo que se puede descargar desde el Manager Infomaniak:

• solicitar un certificado para el dominio sap.domain.xyz proporcionando una CSR (lo que significa tener la llave privada a su lado, llamada p.ex server.key)
• Descargar el certificado generado en el Manager Infomaniak: sap.domain.xyz-15-03-2024.zip
• descomprimir el archivo

• ejecutar

  openssl pkcs12 -export -out server.p12 -inkey server.key -in sap.domain.xyz.crt -certfile ca_bundle.crt

Un archivo server.p12 entonces será obtenido.

Si el certificado se generó sin CSR es el archivo .key presente en el zip descargado que servirá como clave.