[uylug-varios] Certificado SSL de gub.uy

[Gabriel Cabillón]

El 11/4/2019 a las 11:35, Eduardo Trápani escribió:
>> Al Firefox de opensuse le agregué los intermedios (*) y empezó a 
>> funcionar
>>
>> (*) https://repository.certum.pl/bundles/OVSSLChain-SHA2.crt
>>      CN = Certum Organization Validation CA SHA2
>>      CN = Certum Trusted Network CA
> 
> Guau. Me encantó. Pero no entiendo ... ¿Cómo se hace eso?
> 
> Yo pensé que este tema de los certificados no aceptaba mucho manejo 
> local, más que agregar de repente alguna autoridad CA en la que confiar 
> (para MITM empresarial y cosas así).
> 
> ¿Eso que hiciste es algo que le pueda sugerir a CertUy que hagan?
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy

Por el lado del servidor, además del certificado y la clave privada 
SSLCertificateFile y SSLCertificateKeyFile (aparentemente es un apache 
httpd), deberían hacer referencia a los certificados intermedios:
    SSLCertificateChainFile /etc/ssl/ssl.crt/OVSSLChain-SHA2.crt

descargado de la url del mail anterior.

Esta es la solución. Con ésto debería ser suficiente.

Lo de importar los intermedios en el Firefox es un parche nomás para que 
no te advierta de que el certificado no es válido. No es la solución. Sí 
te sirve para corroborar y una manera de testear que esos certificados 
son los que te faltan. (al agregarlos no te da más problema).

Si querés probar, descargá el crt de certum y en el firefox: Menú, 
Opciones, Privacidad y Seguridad, al final tenés Certificados, orejita 
Autoridades, Importar.
Te tienen que aparecer en la lista bajo Unizeto Technologies S.A.

Al parecer los certificados los obtuvieron por intermedio de Abitab. Si 
es así, acá tiene manuales varios de cómo instalarlos en diversos 
servidores:
https://www.iddigital.com.uy/es/ayuda-y-soporte/manuales/

Saludos,
Gabriel