cancel
Showing results for 
Search instead for 
Did you mean: 

Instalar certificado SSL para acceder por HTTPS en red local

pgguillen
Champ in-the-making
Champ in-the-making

Ante todo gracias a la comunidad por toda la ayuda ofrecida.

Tengo instalado Alfresco en un servidor solo accesible desde una red local. He configurado el dominio local http://alfresco.empresa.es:8080/share/page/repository para que funcione correctamente y los usuarios pueden acceder desde cualquier ordenador conectado a la red.

El problema es que tengo la necesidad de acceder por HTTPS https://alfresco.empresa.es:8443/share/page/repository y necesito tener instalado un certificado para que los navegadores no den error de seguridad.

Hay alguna manera de poder instalar un certificado SSL en el servidor local para que funcione correctamente?

Gracias.

21 REPLIES 21

angelborroy
Community Manager Community Manager
Community Manager

Hay diferentes maneras.

A mí me gusta hacerlo con un NGINX / Apache por delante del Tomcat.

Aquí hay algunas instrucciones para Let's Encrypt (no aplicaría a Intranets), pero espero que te sean de ayuda.

http://www.keensoft.es/en/configuring-alfresco-ssl-by-using-lets-encrypt/

En caso de que lo quieras hacer directamente en Tomcat, también es posible pero (para mi gusto) es más enrevesado.

Tienes algo de información aquí: https://angelborroy.wordpress.com/2016/06/15/configuring-alfresco-ssl-certificates/

Hyland Developer Evangelist

Gracias Angel como siempre por esta documentación y por tu ayuda, pero no es lo que estaba buscando.

Son formulas para servidores con acceso a Internet, en mi caso, seria para un servidor solo accesible desde la red local.

Como te decía, es más o menos lo mismo. 

La pregunta básica es: ¿quieres hacerlo en el Tomcat o tienes un Apache/NGINX delante?

Hyland Developer Evangelist

Me es indiferente, no tengo nada delante de Alfresco, así que supongo que mejor directamente en Tomcat

angelborroy
Community Manager Community Manager
Community Manager

Entonces esta información aplica totalmente a tu caso: https://angelborroy.wordpress.com/2016/06/15/configuring-alfresco-ssl-certificates/

Hyland Developer Evangelist

Muchas gracias, me pongo a trabajar en ello ahora mismo.

He realizado el script generate_keystores.sh para generar los certificados. Pero sigue sin funcionar.

No se si el error esta en el conector del servidor Tomcat que esta configurado asi:

<Connector port="8443" URIEncoding="UTF-8" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" keystoreFile="/opt/alfresco-content-services-community-full/alf_data/keystore/ssl.keystore" keystorePass="kT9X6oe68t" keystoreType="JCEKS"
secure="true" connectionTimeout="240000" truststoreFile="/opt/alfresco-content-services-community-full/alf_data/keystore/ssl.truststore" truststorePass="kT9X6oe68t" truststoreType="JCEKS"
clientAuth="want" sslProtocol="TLS" allowUnsafeLegacyRenegotiation="true" maxHttpHeaderSize="32768" maxSavePostSize="-1" />

No se por donde seguir.

Este es el motivo por el que configuro el SSL en Apache o NGINX: resulta muchísimo más sencillo.

En el fondo, lo "único" que tienes que hacer es crear tus certificados e importarlos a los ficheros "ssl.keystore" y "ssl.truststore". Por otro lado, no estoy seguro de que ese script "generate_keystores.sh" funcione adecuadamente. 

Si no tienes experiencia configurando certificados SSL en Java, creo que la mejor alternativa es que los configures en el Proxy Web (p. e. Apache HTTPd).

Hyland Developer Evangelist

joseantonionava
Star Contributor
Star Contributor

Hola Pablo Guillen,

Totalmente de acuerdo con Angel Borroy‌ respecto a SSL es mucho mas sencillo instalar y mantener con un Web Server delante de Alfresco que con el propio Alfresco.

Que el navegador del usuario que conecta, reconozca el certificado como procedente de una CA reconocida y de confianza, es la clave para conseguir lo que quieres si no me equivoco.

Ten en cuenta que cualquier certificado que sea autogenerado (autofirmado), dará warning independientemente de que lo hagas con Alfresco o con cualquier otro Web Server por delante de Alfresco porque no eres una CA reconocida y de confianza para los navegadores de los usuarios que conectan.

Indicar a cada navegador, de cada usuario, que el nuevo certificado autogenerado procede de una CA de confianza, se hace habitualmente importando el SSL autofirmado que has generado en la pestaña "Entidades de certificación raíz de confianza" en las opciones de gestión de certificados de los navegadores de los usuarios.

Esto puede cambiar dependiendo de la "marca" del navegador. Pero es tu solución creo.

Aunque como es para trabajar en local, yo no me preocuparía demasiado si no consigues o no quieres hacerlo, porque igualmente el tráfico iria cifrado que es lo importante. Y la "moléstia" del warning se soluciona indicado una excepción permanente al navegador.

Eso si, si lo haces tendrás el candado verde.

Un saludo y espero haberte ayudado.