Article ID: 6138, created on Jun 30, 2009, last review on Aug 12, 2014

  • Applies to:
  • Plesk 9.x for Linux/Unix

Síntomas

El servidor SSO está registrado sso.server en Parallels Plesk Panel 9 y el modo SSO está activado.

Puede comprobarlo con la utilidad sso de Parallels Plesk Panel:

~# /usr/local/psa/bin/sso --get-prefs
SSO on
sso server url: https://sso.server:11443
sso relay url: https://sso.server:11444
~#

En Parallels Plesk Panel hay instalado un certificado SSL válido emitido por una autoridad de certificación de confianza.

Aún así, aparece el siguiente error en la página de inicio de sesión a Paralels Plesk Panel:

Secure Connection Failed

sso.server:11444 uses an invalid security certificate.

The certificate is not trusted because it is self signed.

(Error code: sec_error_ca_cert_invalid)

    * This could be a problem with the server's configuration, or it could be someone trying to impersonate the server.

    * If you have connected to this server successfully in the past, the error may be temporary, and you can try again later.

Or you can add an exception…

Causa

Como Parallels Plesk Panel trabaja en modo SSO, la página de inicio de sesión http://plesk.host.name:8443 es redirigida al servidor SSO y se abre la página http://sso.server:11444. En primer lugar se carga el certificado SSL instalado en el servidor SSO y entonces el certificado SSL instalado en Parallels Plesk Panel. Por defecto, existe un certificado SSL autofirmado instalado en el servidor SSO.

Incluso en el caso de que en Parallels Plesk Panel haya instalado un certificado SSL válido, primero se abrirá un certificado SSL autofirmado.

Siga los pasos que detallamos a continuación para instalar un certificado SSL válido en el servidor SSO.

Resolución

El certificado SSL usado por el servidor SSO se encuentra en el directorio /etc/sso:

~# ls -l /etc/sso
total 16
-rw------- 1 sso  root 2198 Feb 20 13:23 sso-ca.pem
-rw-r--r-- 1 root root  774 Nov 11 14:04 sso_config.ini
-rw------- 1 sso  root 2198 Feb 20 13:19 sso.pem
-rw------- 1 sso  root 1155 Feb 20 13:16 sso-public.pem
~#

Antes de realizar el reemplazo, haga una copia de seguridad de los certificados SSL antiguos, por si acaso:

~# cp -rp /etc/sso /etc/sso.old

Guarde el certificado SSL del dominio en el archivo CRT.pem, Certificate Authority (CA) certifica a CA.pem y Private Key a KEY.pem:

CRT.pem
-----BEGIN CERTIFICATE-----
   <===CERTIFICATE HERE===>
-----END CERTIFICATE-----


KEY.pem
-----BEGIN RSA PRIVATE KEY-----
   <===PRIVATE KEY HERE===>
-----END RSA PRIVATE KEY-----


CA.pem
-----BEGIN CERTIFICATE-----
 <===CA CERTIFICATE HERE===>
-----END CERTIFICATE-----


Antes de instalarlo, le recomendamos verificar que la Llave Privada coincide con el certificado SSL del dominio. Esto significa que la Llave Privada fue generada con Certificate Signed Request (CSR) usado por Certificate Authority para generar el certificado SSL del dominio CRT.pem.

Tenga en cuenta que si el certificado SSL se instaló con otra Llave Privada, entonces no será válido.

Para obtener md5 para la Llave Privada:

~# openssl rsa -noout -modulus -in KEY.pem | openssl md5
1ef3c35a4baabdff594f78831dc882c4
~#

y para el certificado SSL:

~# openssl x509 -noout -modulus -in CRT.pem | openssl md5
1ef3c35a4baabdff594f78831dc882c4
~#

Si se obtiene una salida md5 similar, la Llave Privada y el certificado SSL coinciden.

Para verificar que el certificado CA coincide con el certificado SSL del dominio:

~# openssl verify -verbose -CAfile CA.pem CRT.pem
CRT.pem: OK
~#

Copie el texto de CRT.pem, CA.pem y KEY.pem a los archivos del certificado:

sso-ca.pem
-----BEGIN RSA PRIVATE KEY-----
   <===PRIVATE KEY HERE===>
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
 <===CA CERTIFICATE HERE===>
-----END CERTIFICATE-----


sso.pem
-----BEGIN RSA PRIVATE KEY-----
   <===PRIVATE KEY HERE===>
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
   <===CERTIFICATE HERE===>
-----END CERTIFICATE-----


sso-public.pem
-----BEGIN CERTIFICATE-----
   <===CERTIFICATE HERE===>
-----END CERTIFICATE-----


NOTA: Algunas Autoridades de Certificación no requieren un certificado CA. En este caso podrá copiar el archivo sso.pem a sso-ca.pem.

Compruebe y corrija los permisos. Puede realizar esta acción con los comandos chown y chmod:

~# chown sso:root /etc/sso/sso*.pem
~# chmod 400 /etc/sso/sso*.pem


Ahora reinicie sw-cp-server:

~# /etc/init.d/sw-cp-server restart
Restarting SWsoft control panels server... stale pidfile.  [  OK  ]
~#

Con el siguiente comando puede verificar que el certificado SSL nuevo está siendo usado por el servidor SSO:

~# openssl s_client -connect sso.server:11444

Información Adicional

Si desea más información acerca del procedimiento de generación de un certificado SSL autofirmado para un servidor SSO, consulte el artículo Cómo generar un certificado SSL autofirmado para un servidor SSO manualmente?

6ef0db7f1685482449634a455d77d3f4 a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 56797cefb1efc9130f7c48a7d1db0f0c

Email subscription for changes to this article
Save as PDF