Parallels

Síntomas

El servidor SSO está registrado sso.server en Parallels Plesk Panel 9 y el modo SSO está activado.

Puede comprobarlo con la utilidad sso de Parallels Plesk Panel:


En Parallels Plesk Panel hay instalado un certificado SSL válido emitido por una autoridad de certificación de confianza.

Aún así, aparece el siguiente error en la página de inicio de sesión a Paralels Plesk Panel:

Secure Connection Failed

sso.server:11444 uses an invalid security certificate.

The certificate is not trusted because it is self signed.

(Error code: sec_error_ca_cert_invalid)

    * This could be a problem with the server's configuration, or it could be someone trying to impersonate the server.

    * If you have connected to this server successfully in the past, the error may be temporary, and you can try again later.

Or you can add an exception…

Causa

Como Parallels Plesk Panel trabaja en modo SSO, la página de inicio de sesión http://plesk.host.name:8443 es redirigida al servidor SSO y se abre la página http://sso.server:11444. En primer lugar se carga el certificado SSL instalado en el servidor SSO y entonces el certificado SSL instalado en Parallels Plesk Panel. Por defecto, existe un certificado SSL autofirmado instalado en el servidor SSO.

Incluso en el caso de que en Parallels Plesk Panel haya instalado un certificado SSL válido, primero se abrirá un certificado SSL autofirmado.

Siga los pasos que detallamos a continuación para instalar un certificado SSL válido en el servidor SSO.

Resolución

El certificado SSL usado por el servidor SSO se encuentra en el directorio /etc/sso:


Antes de realizar el reemplazo, haga una copia de seguridad de los certificados SSL antiguos, por si acaso:


Guarde el certificado SSL del dominio en el archivo CRT.pem, Certificate Authority (CA) certifica a CA.pem y Private Key a KEY.pem:

CRT.pem
-----BEGIN CERTIFICATE-----
   <===CERTIFICATE HERE===>
-----END CERTIFICATE-----

KEY.pem
-----BEGIN RSA PRIVATE KEY-----
   <===PRIVATE KEY HERE===>
-----END RSA PRIVATE KEY-----

CA.pem
-----BEGIN CERTIFICATE-----
 <===CA CERTIFICATE HERE===>
-----END CERTIFICATE-----

Antes de instalarlo, le recomendamos verificar que la Llave Privada coincide con el certificado SSL del dominio. Esto significa que la Llave Privada fue generada con Certificate Signed Request (CSR) usado por Certificate Authority para generar el certificado SSL del dominio CRT.pem.

Tenga en cuenta que si el certificado SSL se instaló con otra Llave Privada, entonces no será válido.

Para obtener md5 para la Llave Privada:


y para el certificado SSL:


Si se obtiene una salida md5 similar, la Llave Privada y el certificado SSL coinciden.

Para verificar que el certificado CA coincide con el certificado SSL del dominio:


Copie el texto de CRT.pem, CA.pem y KEY.pem a los archivos del certificado:

sso-ca.pem
-----BEGIN RSA PRIVATE KEY-----
   <===PRIVATE KEY HERE===>
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
 <===CA CERTIFICATE HERE===>
-----END CERTIFICATE-----

sso.pem
-----BEGIN RSA PRIVATE KEY-----
   <===PRIVATE KEY HERE===>
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
   <===CERTIFICATE HERE===>
-----END CERTIFICATE-----

sso-public.pem
-----BEGIN CERTIFICATE-----
   <===CERTIFICATE HERE===>
-----END CERTIFICATE-----

NOTA: Algunas Autoridades de Certificación no requieren un certificado CA. En este caso podrá copiar el archivo sso.pem a sso-ca.pem.

Compruebe y corrija los permisos. Puede realizar esta acción con los comandos chown y chmod:

~# chown sso:root /etc/sso/sso*.pem
~# chmod 400 /etc/sso/sso*.pem

Ahora reinicie sw-cp-server:


Con el siguiente comando puede verificar que el certificado SSL nuevo está siendo usado por el servidor SSO:

Información Adicional

Si desea más información acerca del procedimiento de generación de un certificado SSL autofirmado para un servidor SSO, consulte el artículo Cómo generar un certificado SSL autofirmado para un servidor SSO manualmente?