Egin behar ditugun lanetako oinarrizkoenetako bat izango da, Nextcloud eta ONLYOFFICE sarbideak segurtatzea, batez ere Internet bidez lan egiteko asmoa badugu. Beraz, Dokumentu honetan ikusi egingo dugu nola ordezkatu HTTP zifratua gabeko trafikoa HTTPS seguru batekin, veremos inicialmente la configuración para Nextcloud y finalmente sobre ONLYOFFICE.

Nextcloud-era sarbide segurua aktibatzea,

Erabiltzaileek Nextcloud-era modu seguruan sartzea nahi badugu, Nextcloud-eko gure Apache zerbitzarietan ziurtagiri bat instalatu beharko dugu. Dagoeneko zerbitzu honetarako FQDN bat pentsatuta eduki dugula suposatzen dut, beraz ziurtagiria domeinu izen horretarako balio behar du, edo Wildcard ziurtagiri bat erabili eta hori besterik ez! Nire egoeran datos.openservices.eus izena erabiliko dut Nextcloud zerbitzariari erreferentzia egiteko eta, jakina, dagokion DNS sarrera sortuko dut eskualde publikoan eta pribatuan.

Antes de empezar, ¿qué necesitamos? Ziurtagiriak! Egokitutako formatuan aurkeztu behar ditugu, ziurtagiria izan behar dugu, bere gako pribatua eta CAen ziurtagiri kateak. Erraz egingo dugu, suponiendo que yo tengo un fichero PFX que en su día generé en otro servidor (IIS en Windows por ejemplo), lo copiaremos con SCP al servidor, y además de eso tenemos que buscar o hacer un fichero con la cadena de los certificados de las entidades emisoras, que normalmente nuestro proveedor de certificados nos lo habrá mandado en su día 😉

Para separar de un fichero PFX y obtener el certificado público por un lado y la clave privada por otro, podremos hacerlo con este ejemplo:

[sourcecode]openssl pkcs12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openssl pkcs12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out wildcard_open_services.key[/sourcecode]

Comenzamos habilitando el módulo de SSL y editamos el fichero de configuración del sitio de Nextcloud.

[sourcecode]sudo a2enmod ssl[/sourcecode]

Copiamos los certificados que acabamos de generar al directorio de certificados de Apache además del fichero con toda la cadena de las CA intermedias:

[sourcecode]sudo cp wildcard_open_services.* /etc/apache2/ssl
sudo mv openservices_eus.ca-bundle /etc/apache2/ssl/cadena.crt[/sourcecode]

Editamos el fichero /etc/apache2/sites-enabled/default-ssl.conf de configuración del sitio seguro de Apache y modificamos las entradas que hacen referencia al certificado, a la clave privada y a la cadena de certificados:

[sourcecode]SSLCertificateFile /etc/apache2/ssl/wildcard_open_services.cer
SSLCertificateKeyFile /etc/apache2/ssl/wildcard_open_services.key
SSLCertificateChainFile /etc/apache2/ssl/cadena.crt[/sourcecode]

Grabamos y reiniciamos Apache & validamos que ya podremos acceder al sitio de Nextcloud mediante https seguro:

[sourcecode]sudo service apache2 restart[/sourcecode]

Poner el sitio predeterminado de Nextcloud en Apache,

Bestela, si queréis evitar que vuestros usuarios tengan que teclear /nextcloud y hacer por tanto dicho sitio como el predeterminado en Apache, editaremos los ficheros de configuración /etc/apache2/sites-enabled/000-default.conf y /etc/apache2/sites-enabled/default-ssl.conf de los sitios, modificando la ruta:

[sourcecode]DocumentRoot /var/www/nextcloud[/sourcecode]

Eta berrabiarazi Apache!

[sourcecode]sudo service apache2 restart[/sourcecode]

ONLYOFFICE-ri sarbide seguruak aktibatzea,

Si queremos securizar el tráfico y los accesos a Document Server, deberemos instalar un certificado SSL en Nginx, que es el servidor web que estamos usando y así cifrar sus conexiones usando HTTPS, además al final veremos cómo cambiar el puerto por si nos interesase a posteriori abrir este escenario a Internet.

Igual que antes, ONLYOFFICE también necesita tener los certificados en el formato específico de Nginx, tenemos que dejar en la carpeta de certificados el certificado público, la clave privada y un certificado con la cadena de todas las CA intermedias o de raíz.

Recordamos los pasos seguidos para separar de un fichero PFX y obtener el certificado público por un lado y la clave privada:

[sourcecode]openssl pkcs12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openssl pkcs12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out wildcard_open_services.key[/sourcecode]

Gainera, si no queremos tener problemas de confianza del certificado, se recomienda generar el fichero del certificado con la cadena de todas las CA, algo así nos puede ayudar a obtenerlo el siguiente comando, que creará 1 fichero con todos los certificados:

[sourcecode]cat /etc/ssl/certs/wildcard_open_services.cer openservices_eus.ca-bundle > wildcard_open_services_y_cadena.cer[/sourcecode]

Copiamos los ficheros generados al directorio de certificados, paramos Nginx, y creamos un fichero de configuración para acceso a ONLYOFFICE seguro:

[sourcecode]sudo cp wildcard_open_services.* /etc/ssl/certs/
sudo service nginx stop
sudo cp -f /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver-ssl.conf.template /etc/nginx/conf.d/onlyoffice-documentserver.conf[/sourcecode]

Editamos el fichero de configuración y le añadimos la ruta al certificado y a su clave privada:

[sourcecode]sudo vim /etc/nginx/conf.d/onlyoffice-documentserver.conf
ssl_certificate /etc/ssl/certs/wildcard_open_services_y_cadena.cer;
ssl_certificate_key /etc/ssl/certs/wildcard_open_services.key;[/sourcecode]

Bestela, es momento si queremos cambiarle el puerto, el el fichero de configuración, modificaremos la sección donde escucha y seleccionamos el puerto que nos interese:

[sourcecode]listen 0.0.0.0:4443 ssl;
listen [::]:4443 ssl default_server;[/sourcecode]

Nahikoa izango da Nginx berriro abiarazi eta egiaztatzea ea sar zaitezkeen URL berritik, https bidez:// eta zehaztu dugun atakara:

[sourcecode]sudo service nginx start[/sourcecode]