ps auxw | grep httpd | awk ‘{system(“kill -9 ” $2)}’

Con esto veremos todos los procesos abiertos con httpd y a continuación matarlos.

En pocas palabras, nos permite disminuir el tiempo de ejecución de los scripts entre un 20 y 50 por ciento con lo que optimizamos bastante el rendimiento de nuestro servidor.

Para instalarlo simplemente tenemos que seguir estos pasos:

Lo primero es descargar el archivo tar.gz desde el sitio oficial para ello ejecutaremos el siguiente comando desde la shell:

# wget http://downloads.zend.com/optimizer/3.3.3/ZendOptimizer-3.3.3-linux-glibc23-i386.tar.gz

Decir que depende de la arquitectura que estamos utilizando puede ser i386, 86x… para ello lo comprobamos y descargamos la que se adapte a nuestro servidor. Necesitaremos registrarnos en este caso.

Una vez descargado el archivo lo descomprimimos:

# tar -zxvf ZendOptimizer-3.3.3-linux-glibc23-i386.tar.gz

Ya hemos extraido los archivos asi es que podemos borrar el archivo tar.gz:

# rm -rf ZendOptimizer-3.3.3-linux-glibc23-i386.tar.gz

Entramos en el directorio donde se encuentran los archivos de instalacion:

# cd ZendOptimizer-3.3.3-linux-glibc23-i386

Ejecutamos el archivo de instalacion:

# ./install.sh

Respondemos de forma adecuada a todas las preguntas que se nos hacen en el proceso de instalacion, lo cual supone aceptar todo, una vez finalizado el proceso nos dirigimos al directorio en el que se encuentra el archivo php.ini:

# cd /etc

Abrimos el archivo php.ini con un editor de texto por ejemplo vi:

# vi php.ini

Buscamos las lineas de configuracion de Zend Optimizer en el archivo php.ini, para ello escribimos el siguiente comando:

# /zend

Suele estar al final del fichero.

Debemos de encontrar las siguientes lineas al final del archivo:

zend_extension_manager.optimizer=/usr/local/Zend/lib/Optimizer-3.3.3
zend_extension_manager.optimizer_ts=/usr/local/Zend/lib/Optimizer_TS-3.3.3
zend_optimizer.version=3.3.3
zend_extension=/usr/local/Zend/lib/ZendExtensionManager.so
zend_extension_ts=/usr/local/Zend/lib/ZendExtensionManager_TS.so

Una vez que las hemos localizado las copiamos al portapapeles y si es necesario a un archivo de texto para no perderlas, y pasamos al modo de insercion de texto en el editor vi pulsando la tecla i, una vez en el modo texto comentamos las lineas pasando a quedar estas en el archivo php.ini de la siguiente manera:

;zend_extension_manager.optimizer=/usr/local/Zend/lib/Optimizer-3.3.3
;zend_extension_manager.optimizer_ts=/usr/local/Zend/lib/Optimizer_TS-3.3.3
;zend_optimizer.version=3.3.3
;zend_extension=/usr/local/Zend/lib/ZendExtensionManager.so
;zend_extension_ts=/usr/local/Zend/lib/ZendExtensionManager_TS.so

Salimos del modo texto pulsando la tecla escape y guardamos el archivo con el siguiente comando:

# :wq

Entramos en el directorio /etc/php.d:

# cd /etc/php.d

Usamos el editor de texto vi para crear un nuevo archivo:

# vi zend-optimizer.ini

Pegamos en el las lineas que anteriormente habiamos copiado del archivo php.ini en el archivo zend-optimizer.ini, para ello lo usual es si estas usando Putty pulsar el boton derecho del raton, lo cual hara que se pegue el contenido que tenemos copiado en el portapepeles, lueego guardamos el archivo:

# :wq

Reiniciamos apache:

# service httpd restart

Y comprobamos que tanto Ioncube como Zend Optimizer se hayan inicializado correctamente con php

# php -v

Si todo ha ido bien deberiamos de obtener algo como esto:

php -v
PHP 5.1.6 (cli) (built: Apr 7 2009 08:00:04)
Copyright (c) 1997-2006 The PHP Group
Zend Engine v2.1.0, Copyright (c) 1998-2006 Zend Technologies
with the ionCube PHP Loader v3.1.16, Copyright (c) 2002-2006, by ionCube Ltd., and
with Zend Extension Manager v1.2.2, Copyright (c) 2003-2007, by Zend Technologies
with Zend Optimizer v3.3.3, Copyright (c) 1998-2007, by Zend Technologies

Casualmente en PuntoGeek.com han realizado una interesante recopilación con unos cuantos servicios web que nos ayudarán a saber si nuestro servidor está caido o no.

Son los siguientes:

• Pingdom: Seguramente es de los más conocidos en el mercado, en la opción de prueba por 30 días podemos monitorizar un sitio y recibir hasta 20 SMS de notificaciones, además de poder ver los reportes que el sistema genera.
• Site24×7: Es otro servicio que se hizo conocido por el costo del servicio, en su versión gratuita podemos monitorizar un sitio cada 60 minutos o más. Pero las cuentas de pago son muy baratas, mientras más corto es el intervalo de chequeo del sistema más cara es la cuenta.
• HostTracker: Este servicio también ofrece su versión gratuita por 30 días con informes avanzados, permite monitorizar hasta 2 sitios con intervalos de hasta 30 minutos. Obviamente tiene cuentas de pago que elevan la calidad del servicio. Si quieren uno gratis les recomiendo éste.
• SiteUptime: Tiene unas lindas características en su versión gratuita, no tiene límite de tiempo y te permite monitorear un sitio cada 30 o 60 minutos, acceso a informes públicos y privados. Estadísticas del servidor de correo, notificaciones por email, etc.
• Service Uptime: quedó para lo último pero esto no significa nada, ofrece la opción de registrarse y obtener el servicio de pruebas por 30 días con intervalos de 30 minutos y notificaciones por SMS ilimitadas.

Lo primero que tendremos que crear es un archivo FUERA del directorio web, ya que es MUY IMPORTANTE que no tenga acceso web dicho archivo, ya que es el que va a contener los usuarios y contraseñas de acceso.

Por ejemplo, tendremos un archivo en /home/mi_web/conf/.htpasswd

En dicho archivo, tendremos que incluir los usuarios que van a tener acceso con sus respectivas contraseñas.

Para crear el contenido, podemos utilizar este generador de contraseñas. Además de generarlas nos indica el contenido que podría contener nuestro futuro .htaccess, pero yo al menos lo he probado sin éxito, con lo que solo nos interesa el contenido para el archivo .htpasswd que nos va a generar. Con lo que nos quedaremos en el apartado 1 del generador.

Por ejemplo, introduciendo como usuario: hola y contraseña pepito, haciendo clic en Submit, nos generará el siguiente contenido para nuestro .htpasswd:

hola:WiEJ1fKtqVFVw

Así que editaremos nuestro archivo /home/mi_web/conf/.htpasswd e incluiremos el contenido generado. En mi ejemplo:

hola:WiEJ1fKtqVFVw

Y guardaremos.

Ahora tenemos que crear un archivo llamado .htaccess en nuestra carpeta que queremos proteger. Por ejemplo queremos proteger una carpeta que tenemos llamada personal y que está en la raíz del directorio web (www):

/home/mi_web/www/personal/.htaccess

Y lo editaremos con el siguiente contenido:

Y listo, accedemos desde el navegador a dicha carpeta y nos pedirá un usuario y contraseña (en mi ejemplo hola y pepito), los cuales corresponden a los que tengamos .htpasswd.

Esta es una configuración totalmente válida y que en mi caso me ha funcionado sin problemas. Con lo que el funcionamiento en otros servidores debería de ser el correcto también. Y seguro que hay muchísimas formas y colores para hacer lo mismo pero de diferente manera.

Ya se encuentra disponible la versión de Super Grub Disc (simplemenente arrancaremos el ordenador desde el dispositivo en el que lo tengamos y restauraremos el arranque) para los formatos de usb, cd y disquete, aplicación orientada al rescate de sistemas: arranque y/o restauración de arranques, o lo que es lo mismo un simple disco Grub al cual se le han añadido menús con opciones habituales sin necesidad de usar comandos, que se presenta en diferentes formatos autoarrancables, en un disquete o en un cdrom o en un usb y que permite entre otras cosas:

• Activar particiones
• Arrancar particiones
• Arrancar MBRs
• Arrancar tu antiguo SO (un linux u otro). En realidad carga el menu.lst de tu ordenador.
• Restaurar Grub en MBR automáticamente
• Cambiar teclado de consola
• Multiidioma
• Intercambio de discos duros en BIOS y arranque de disquete / cdrom / particiones…

Para descargar aquí.

Por lo menos a mi, no me gustaría tener mi lista de contactos mezcladas con la de otra persona o tener en el calendario las fechas importantes de otra persona junto a mis fechas importantes.

Por ello es importante hacer un hard reset (es decir, dejar en blanco y como nuevos) los móviles de segunda mano.

Ahora te preguntarás : ¿Cómo se puede hacer un hard reset y actualizar el firmware de un Nokia NSeries?

Pues vamos a poner un caso práctico con un Nokia N70, contado en primera persona.

Hace unos días he tenido que actualizar el firmware de mi Nokia N70 y he tenido que hacerle un hard reset (dejarlo tal y como viene de fábrica. OJO SE ELIMINAN TODOS LOS CONTACTOS,FECHAS…), para eliminar programas basura que tenía instalados y limpiar la tarjeta de memoria de paso.

Tengo que reconocer que el Nokia N70 es uno de los mejores (por no decir que mejor) móviles que he tenido, pero también tengo que reconocer que es un pelín lento. Esta lentitud, al actualizar el firmware desaparece. Por lo menos en mi caso, antes al trastearlo tardaba 2-3 segundos en abrir las cosas, ahora es casi inmediato (no exagero). Con lo que os recomiendo actualizar el firmware de vuestro Nokia. También os recomiendo descargaros el Nokia Pc Suite para hacer copias de seguridad completas de vuestro móvil, gestionar ficheros…

Para actualizar vuestro móvil, primero hay que descargarse el Nokia Pc Suite:

http://www.nokia.es/A4181007

1-. Conectar el móvil mediante el cable usb al ordenador.

2-. En el Nokia Pc Suite hay que hacer una copia de seguridad completa del móvil. IMPORTANTÍSIMO ya que al actualizar se borra todo.

3-. En el Nokia Pc Suite hay una opción para actualizar el firmware. Os dirá que hay que descarga el software para actualizarlo, lo instaláis y lo ejecutáis. Finalmente seguir las instrucciones de la actualización (siguiente todo el rato).

Listo ya tienéis vuestro móvil actualizado.

Luego hay que restaurar la copia de seguridad que habéis hecho, para volver a tener los contactos, imágenes y demás opciones. En el Nokia Pc Suite tenéis la opción para hacerlo. :)

Para hacer el hard reset (en el caso que lo necesitéis hacer en algún momento), hay que hacer lo siguiente:

1. Teclear: *#7370#
2. Introducir el código de seguridad (por defecto): 12345

Y listo, el móvil se reiniciará dejándolo bien limpio (con los valores de fábrica) :) .

• ZipGenius: comprime y descomprime archivos, es open source y está disponible para la plataforma Windows, además incorpora funciones para proteger los archivos usando varios algoritmos de encriptación.
• TrueCrypt: es un programa de código abierto, gratis y está disponible para las plataformas Windows, Linux y Mac. Permite cifrar y ocultar datos utilizando los algoritmos: AES, Blowfosh, CAST5, Serpent, Triple DES y Twofish.
• Steganos Secure Traveller: este incluye servicio VPN, encriptación de datos y protección contra robo de datos. No es gratis.
• PowerKey: es un programa avanzado que encripta y limpia datos, disponible para las versiones Win9x, WinMe, NT, W2k, XP de Windows
• HandyCrypto: usa encriptación AES para protección de datos. Este permite ocultar archivos y carpetas importantes.
• Cryptic Disk: provee una forma simple de proteger discos y particiones por medio de encriptación.

Además si necesitas proteger y recordar un gran número de contraseñas existe Keepass que es un excelente programa open source, que corre en todas las versiones de Windows (98, 98SE, ME, NT, 2000, XP, 2003, Vista (32-bit y 64-bit)) y también está disponible en versión portable.

• Descarga directa para Windows XP.
• Descarga directa para Windows XP 64 Bits.

Sus características principales:

• Controlar y registrar todas las conversaciones de los de MSN, de AOL (AIM), chat, chat de Yahoo, ICQ.
• Se puede ejecutar como servicio de NT, se inicia automáticamente al iniciarse Windows.
• Ver la tala de contactos de MSN, el estado de conexión.
• No es necesario instalar ningún software cliente en los ordenadores clientes.
• El trabajo no se puede comprobar por los ordenadores clientes.
• Fácil de usar.
• Acceso a los datos con contraseña.
• Guarda casi todo el contenido de los chats incluyendo mensajes instantáneos con el color y tipo de letra, iconos etc.
• Los registro se guardan automáticamente con el mismo formato que se ven en el MSN Messenger.
• Registros de búsquedas de una forma muy sencilla y eficiente.
• Establezca su color favorito. 15 color y 15 temas de colores.
• Messenger Detect Minimizado en la barra de tareas.
• Exportar los mensajes de texto a un archivo RTF, fácilmente.
• Utilice motor del discurso para leer los mensajes de chat para usted.
• Fecha y hora se añadirá en cada mensaje grabado.
• GRATIS para descargar y probar por 15 días.
• Dispone de soporte técnico a través del correo electrónico en Inglés.

Los únicos requisitos son:

• Tener: Windows NT4, Windows 2000, Windows XP, Windows Server 2003, Windows Vista.

Lo podéis descargar pinchando aquí. Descarga directa.

Para comprobar que el archivo que nos hemos descargado es realmente original y no trae consigo ninguna sorpresa, podemos utilizar un programa gratuito llamado MD5 Checker.

Este programa, nos comprobará la veracidad de la clave MD5, que suelen ofrecerla en la misma página de descarga del fichero, y nos dirá si es válida o no.

Es tan sencillo como copiar el MD5 del fichero, pegarlo (hacemos click en PASTE) y buscamos el archivo descargado. Esperamos y nos dirá si la clave MD5 es correcta o no.

Lo podéis descargar pinchando aquí o si no os funciona de aquí. Esta es su página oficial de descargas, os facilito los enlaces porque entre tanta publicidad es un poco difícil encontrar los enlaces de descargas.

Hace tiempo, a dos compañeros de carrera (Sixto y Jorge) y a mi, nos tocó crear una Autoridad Certificadora (CA) con OpenSSL, para que nos entendamos, poder tener un dominio con https.

Hoy un amigo me ha preguntado si sabía como crear una CA y he aprovechado para publicar un tutorial con todos los pasos a seguir. Vamos al grano:

Creación de estructura jerárquica.

* Lo primero deberemos crear una autoridad certificadora la cual expedirá todos los certificados a los clientes que deseen conectarse con el servidor.

* La comunicación se hará a través de la Web mediante la implantación de un protocolo de seguridad SSL.

* Solamente se confiará en los certificados emitidos por nuestra autoridad certificadora.

* El periodo de los certificados expirará cada 15 días.

Herramientas a utilizar:

* Win32OpenSSL-v0.9.8a.
* appserv-win32-2.4.5.
* Apache_1.3.34-Mod_SSL_2.8.25-Openssl_0.9.8a.
* Internet Explorer.
* Windows XP service pack 2.
* OpenSSL

DESARROLLO

La primera operación que vamos a realizar es la instalación del programa appserv-win32-2.4.5 el cual utilizaremos para poder trabajar con el servidor Apache el local y mysql, tras lo cual pasaremos a la instalación del programa OpenSSl para Windows. El software OpenSSL es un proyecto de software desarrollado por lo miembros de la comunidad Open Source. Es un robusto juego de herramientas que le ayudan a su sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad , tales como el Transport Layer Security (TLS). También incluye una librería de criptografía.

Una vez tenemos instaladas todas las herramientas necesarias pasaremos a crear en primer lugar nuestra autoridad certificadora para que pueda expedir certificados digitales a nuestros clientes:

Creación de la Autoridad certificadora (CA)

Para poder crear un certificado primero tenemos que tener una CA (Autoridad Certificadora). Ésta será la que valida y confirma que nuestro certificado es valido.

Para ello nos colocamos en el directorio OpenSSL/bin y ejecutamos la siguiente instrucción:

-openssl req -x509 -newkey rsa:2048 -keyout cakey.pem -days 3650 -out cacert.pem

Ahora vamos a crear un certificado digital, es decir con nuestra CA.

Primero generamos la clave privada del que sera nuestro certificado digital:

-openssl genrsa -des3 -out serv-priv.pem -passout pass:sslfsv 2048

Antes de hacer un certificado , hay que hacer una petición donde se define el propietario del certificado.

-openssl req -new -subj "/DC=root.com/OU=com/CN=root" -key

serv-priv.pem -passin pass:sslfsv -out petic-certificado-serv.pem

Generamos un fichero que contenga lo siguiente:

basicConstraints = critical,CA:FALSE

extendedKeyUsage = serverAuth

Y lo guardamos con el nombre config1.txt.

Y ahora con el fichero hecho con la configuración hacemos el certificado:

-openssl x509 -CA cacert.pem -CAkey cakey.pem -req -in petic-certificado-serv.pem -days 15 -extfile config1.txt -sha1 -CAcreateserial -out servidor-cert.pem

Y le indicamos que el certificado es para un servidor, como esto lo tenemos en nuestro fichero de configuración se lo indicamos poniendo -extfile y nuestro fichero config1.txt y utilizaremos un algoritmo de cifrado SHA (-sha1).

Configuración Servidor Apache

Ahora lo que tenemos que hacer es que copiar los ficheros servidor-cert.pem y servidor-priv.pem en el direcorio donde tengamos nuestro apache /apache/ssl.

Tambien hay que decirle al servidor que escuche por el puerto seguro 443 que es el puerto seguro para comunicaciones SSL. Para ello habrá que retocar el fichero de configuración httpd.conf y poner lo siguiente en la sección Port.

Listen 80

Listen 443

Hay que decirle a Apache que tiene que cargar el modulo correspondiente al paquete SSL y para ello lo hacemos añadiendo la siguiente instrucción en el apartado de carga de módulos.

LoadModule ssl_module modules/mod_ssl.so

Ademas tambien tenemos que decirle que lo añada a la lista de modulos que tambien disponemos.

AddModule mod_ssl.c

Una vez hecho esto solamente nos queda declarar nuestro server virtual en el fichero de configuracion con las directivas correspondientes para ello añadimos al final del fichero el siguiente fragmento de codigo.

NameVirtualHost *:443

ServerAdmin root@localhost

SSLEngine on

SSLCertificateFile ssl\servidor-cert.pem

SSLCertificateKeyFile ssl\serv-priv.pem

Reiniciamos el servidor y a partir de ahora ya tenemos nuestro server listo para pedir certificados clientes.

Generación de certificados clientes

Ahora tenemos que generar los certificados clientes correspondientes a la peticion, para ello vamos a ver los ficheros que

tenemos hasta ahora:

Por parte de nuestra CA—–>cacert-pem, cacert.srl, cakey.pem (creación de nuestra CA)

Por parte de nuestro certificado de servidor—-> servidor-cert.pem, serv-priv.pem (certificado y clave privada)

Ahora generaremos los certificados cliente que le tendremos que dar a los mismos para que puedan entrar en nuestro sitio web.

Primero generamos la clave privada del cliente:

-openssl genrsa -des3 -passout pass:sslfsv -out client-priv.pem 2048

Tendrá un algoritmo de cifrado triple des (-des3) de 2048 y se almacenara en el fichero (-out) client-priv.pem y con el comando -passout pass: indicamos la passphrase para nuestra clave privada que será sslfsv.

Ahora generamos la petición del certificado:

-openssl req -new -key client-priv.pem -passin pass:sslfsv -subj "/DC=localhost/OU=com/CN=Fsv" -out petic-cert-client.pem

Y ahora finalmente ya podemos emitir el certificado, para ello debemos editar el archivo de configuracion openssl.cnf, pero nosotros lo haremos con un archivo externo al que llamaremos config2.txt y al cual le pondremos las siguientes lineas:

basicConstraints = critical,CA:FALSE

extendedKeyUsage = clientAuth

Y hacemos por fin el certificado cliente para enviarselo a nuestros compañeros para que puedan entrar a nuestro sitio https:

-openssl x509 -CA cacert.pem -CAkey cakey.pem -req -in petic-cert-client.pem -set_serial 3 -days 15 -extfile config2.txt -sha1 -out client-cert.pem

Veamos que estamos haciendo, le indicamos que será un certificado del tipo x509 cuya CA (-CA) está definida en el fichero cacert.pem y que usa como clave privada (-CAkey) el fichero cakey.pem y que el certificado a generar tendrán las especificaciones definidas en el apartado anterior(-req -in) las cuales están en el fichero de petición petic-cert-client.pem.

El certificado tendrá una validez de quince dias (-days 15),le indicamos que el certificado es para un cliente, y como esto lo tenemos en nuestro fichero de configuración se lo indicamos poniendo -extfile y nuestro fichero config2.txt y utilizaremos un algoritmo de cifrado SHA (-sha1).

Tambien le decimos que nuestro certificado tendra el numero 3; es importante decir que este numero se deberia cambiar para realizar distintos certificados cliente, ya que a la hora de revocarlos openssl lo hace por el numero de certificado.

Ahora hay que configurar Apache para que nuestro certicado servidor pida certificados cliente, para ello vamos al archivo de configuración httpd.conf y en la declaracion de nuestro host virtual añadimos las siguientes 2 lineas:

SSLCACertificateFile ssl\cacert.pem

SSLVerifyClient require

Con SSLCACertificateFile, le indicamos donde esta nuestra CA y con SSLVerifyClient require le indicamos que el servidor solicite un certificado al cliente cuando acceda a nuestro site.

Ahora debemos redireccionar las entradas por el puerto 80 (http) para que solo se pueda acceder via Https a nuestro servidor; para ello agregamos las siguientes lineas al archivo de configuracion.



RedirectMatch permanent .* https://127.0.0.1:443

Reiniciamos el servidor y ya esta listo para solicitar certificados a cada persona que entre.

Por ultimo tenemos que crear los certificados que cada cliente debera añadir al navegador. Para ello necesitamos crear con nuestro certificado un fichero comprimido en formato pkcs12 que el navegador entiende.

-openssl pkcs12 -export -in client-cert.pem -inkey client-priv.pem -certfile cacert.pem -out cert-pck12.p12

Esto nos genera el archivo de salida cert-pck12.p12 a partir de nuestro certificado cliente client-cer.pem que tiene como clave privada client-priv.pem y cuya entidad certificadora esta definida en cacert.pem. El nombre cert-pck12.p12 podemos cambiarlo a nuestro gusto para crear certificados personalizados para cada cliente.

Este archivo .p12 es el que cada cliente debe añadir a su navegador para poder ver nuestra pagina web via https.

Revocación de Certificados

Un aspecto importante para poder hacer nuestra CA segura es poder revocar certificados, para asegurarnos de que la perdida de un certificado no supone entradas no autorizadas a clientes que no les hemos dado el certificado correspondiente.

Lo primero que debemos hacer es crear una lista de revocacion en la cual se reflejaran todos aquellos certificados que han sido revocados y por lo tanto son invalidos y no utilizables por los clientes. Para poder hacerla bien, debemos tener en el directorio OpennSSL/bin un archivo de texto llamado index.txt el cual tendrá todas las entradas de certificados revocados (base de datos de certificados revocados).

Tambien tenemos que tener bien configurado el archivo openssl.cnf para que coja las rutas adecuadamente, para ello nos aseguraremos que las siguientes entradas estan bien puestas en dicho archivo:

[ CA_default ]

dir= c:/openssl/bin # Directorio donde esta OpenSSl

certs= $dir/certs # El directorio de certificados (da lo mismo)

#crl_dir= $dir/crl #La dejamos comentada. CRL en raiz

database= $dir/index.txt #Donde tengamos nuestro fichero index.txt

#unique_subject= no #Lo dejamos en ‘no’ para poder crear certificados con el mismo subject

new_certs_dir = $dir/newcerts # Directorio de nuevos certificados(tampoco es importante)

certificate= $dir/cacert.pem #Ruta del certificado de nuestra CA

serial= $dir/serial #El actual numero de serie para los certificados

#crlnumber= $dir/crlnumber #El numero actua de la lista de revocacion. Debe estar comentado

#crl= $dir/crl.pem #La actual lista de revocacion

private_key= $dir/cakey.pem # Localización de la clave privada

RANDFILE= $dir/.rand #Archivo para la generación aleatoria de numeros.

x509_extensions = usr_cert #Extension para añadir a los certificados

Una vez tenemos este archivo bien configurado pasamos a crear nuestra lista de revocación o CRL de la siguiente manera.

-openssl ca -gencrl -out listarev.crl

Tambien deberemos crear el mismo archivo pero con extensión .pem

-openssl ca -gencrl -out listarev.pem

Ahora ya tenemos la lista de revocación creada y ya podemos revocar los certificados cliente que queramos, para ello utilizaremos la siguiente instrucción para revocar un certificado.

-openssl ca -revoke client-cert.pem

Con esto le estamos diciendo que revoque el archivo client-cert.pem que habiamos creado anteriormente. OpenSSL añadirá dicha entrada a la base de datos hasta que actualizemos nuestra lista de revocación que deberemos hacerla con el mismo comando utilizado para crearla.

-openssl ca -gencrl -out listarev.crl

-openssl ca -gencrl -out listarev.pem

Para publicar la lista de revocación CRL en nuestro servidor para que se entere de los certificados que han sido revocados, deberemos copiar los 2 archivos de la lista de rovocación listarev.crl y listarev.pem en el directorio /apache/ssl y configurar el archivo htttp.conf para indicarle donde tenemos la lista de revocación almacenada. El paso de copiar las listas al direcorio de apache/ssl se puede evitar poniendo la correspondiente ruta en el archivo de configuracion hhtpd.conf, para ello añadimos a la entrada de nuestro virtuahost lo siguiente.

-SSLCARevocationFile ssl\listarev.pem

Quedando nuestro virtualhost configurado de la siguiente manera.

NameVirtualHost *:443

ServerAdmin root@localhost

SSLEngine on

SSLCARevocationFile ssl\listarev.pem

SSLCertificateFile ssl\servidor-cert.pem

SSLCertificateKeyFile ssl\serv-priv.pem

SSLCACertificateFile ssl\cacert.pem

SSLVerifyClient require

Reiniciamos nuestro servidor apache con la nueva configuración y ya lo tenemos todo listo para pedir certificados y revocar aquellos que nos interesa por diferentes causas.

BIBLIOGRAFÍA

Las páginas consultadas han sido los siguientes:

http://bulma.net/

http://www.openssl.org

http://www.apache.org/

Libro consultado:

-SERVIDOR APACHE 2, Mohammed J. Kabir (Ed. Anaya Multimedia)

ISBN: 8441514682. 1ª edición

Fecha Publicación: Enero 2003