14 febrero 2016

Como configurar un certificado SSL para un servidor web implementado sobre Flask

En esta entrada vamos a configurar un certificado SSL para un servidor web implementado sobre Flask
Primero tenemos que crear el certificado SSL de acuerdo a lo explicado en esta otra entrada.
Una vez lo tenemos, añadimos estas constantes en el fichero de configuración config.py
SERVER_KEY = '/home/aneolf/.ssl/localhost.key'
SERVER_CERTIFICATE = '/home/aneolf/.ssl/localhost.crt'
Suponiendo que dichas claves se han guardado en el directorio .ssl del home del usuario. A continuación, en el fichero de arranque del servidor
from config import SERVER_KEY, SERVER_CERTIFICATE

if __name__ == "__main__":
    context = (SERVER_CERTIFICATE, SERVER_KEY)
    app.run(
        host='0.0.0.0',
        port=80,
        ssl_context=context,
        threaded=True,
        debug=True,
        )
Con esto veremos que cada vez que arrancamos el servidor, nos pide que introduzcamos la contraseña PEM de la clave, para evitarlo abriremos una terminal, cambiaremos el directorio de trabajo a donde esté guardado el certificado y haremos lo siguiente:
cp localhost.key localhost.key.org
openssl rsa -in localhost.key.org -out localhost.key
[enter the passphrase]
Introduciremos la contraseña que pusimos en la clave cuando la creamos y listo. A partir de este momento, cada vez que reiniciemos el servidor ya no necesitaremos introducir nuevamente la contraseña.

Como generar una clave SSL, un fichero CSR y un certificado auto firmado para un sitio web

Si desea convertir su sitio web de HTTP a HTTPS, es necesario obtener un certificado SSL de una organización válida como Verisign o Thawte. También puede generar un certificado SSL auto firmado para fines de prueba.
En este artículo, vamos a repasar cómo generar el archivo de clave privada (server.key), el certificado de archivo de solicitud de firma (server.csr) y el archivo de certificado de servidor web (server.crt) que se debe utilizar en un servidor web.

Convención de nombres de los archivos Key, CSR y CRT

Me gusta nombrar los archivos con el nombre de dominio de la URL HTTPS que va a usar este certificado. Esto hace que sea más fácil de identificar y mantener.
En lugar de server.key, utilizo www.thegeekstuff.com.key
En lugar de server.csr, utilizo www.thegeekstuff.com.csr
En lugar de server.crt, utilizo www.thegeekstuff.com.crt


1. Generar clave secreta en el servidor que ejecuta el servidor web

En primer lugar, generar una clave privada en el servidor Linux que se ejecuta el servidor web con el comando openssl como se muestra a continuación.
# openssl genrsa -des3 -out www.thegeekstuff.com.key 1024
Generating RSA private key, 1024 bit long modulus
.......................................++++++
...................................................++++++
e is 73547 (0x01001)
Enter pass phrase for www.thegeekstuff.com.key:
Verifying - Enter pass phrase for www.thegeekstuff.com.key:
# ls -ltr www.thegeekstuff.*
-rw-r--r-- 1 root root 963 Jun 13 20:26 www.thegeekstuff.com.key
La clave privada generada se parece a lo siguiente.
# cat www.thegeekstuff.com.key
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,485B3C6371C9916E

ymehJu/RowzrclMcixAyxdbfzQphfUAk9oK9kK2
jadfoiyqthakLKNqw9z1MoaqkPyqeHevUm26no
AJKIETHKJADFS2BGb0n61/Ksk8isp7evLM4+QY
KAQETKjdiahteksMJOjXLq+vf5Ra299fZPON7yr
-----END RSA PRIVATE KEY-----

2. Generar una solicitud de firma de certificado (CSR)

Utilizando la clave generada arriba, se debe generar un archivo de solicitud de certificado (CSR) utilizando OpenSSL como se muestra a continuación.
# openssl req -new -key www.thegeekstuff.com.key -out www.thegeekstuff.com.csr
Enter pass phrase for www.thegeekstuff.com.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:California
Locality Name (eg, city) [Newbury]:Los Angeles
Organization Name (eg, company) [My Company Ltd]:The Geek Stuff
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []: thegeekstuff
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

# ls -ltr www.thegeekstuff.*
-rw-r--r-- 1 root root   963 Jun 13 20:26 www.thegeekstuff.com.key
-rw-r--r-- 1 root root   664 Jun 13 20:35 www.thegeekstuff.com.csr

3. Generar un certificado SSL autofirmado

Con fines de prueba, se puede generar un certificado SSL autofirmado que es válido por 1 año con el comando openssl como se muestra a continuación.
# openssl x509 -req -days 365 -in www.thegeekstuff.com.csr -signkey www.thegeekstuff.com.key -out www.thegeekstuff.com.crt
Signature ok
subject=/C=US/ST=California/L=Los Angeles/O=thegeekstuff/OU=IT/CN=www.thegeekstuff.com
Getting Private key
Enter pass phrase for www.thegeekstuff.com.key:

# ls -l www.thegeekstuff*
-rw-r--r-- 1 root root   963 Jun 13 20:26 www.thegeekstuff.com.key
-rw-r--r-- 1 root root   664 Jun 13 20:35 www.thegeekstuff.com.csr
-rw-r--r-- 1 root root   879 Jun 13 20:43 www.thegeekstuff.com.crt

# cat www.thegeekstuff.com.crt
-----BEGIN CERTIFICATE-----
haidfshoaihsdfAKDJFAISHTEIHkjasdjadf9w0BAQUFADCB
kjadfijadfhWQIOUQERUNcMNasdkjfakljasdBgEFBQcDAQ
kjdghkjhfortoieriqqeurNZXCVMNCMN.MCNaGF3dGUuY29
-----END CERTIFICATE-----
Puede utilizar este método para generar claves SSL y archivos CSR y CRT para servidores web,en la mayoría de los sistemas Linux, Unix, incluyendo Ubuntu, Debian, CentOS, Fedora y Red Hat.

4. Obtener un certificado SSL válido de prueba (Opcional)

En lugar de firmar usted mismo, también puede generar un certificado SSL de prueba válida de Thawte, es decir antes de gastar el dinero en la compra de un certificado, también se puede obtener un certificado SSL de 21 días de prueba totalmente funcional válido de Thawte. Una vez funciona este certificado válido, puede decidir comprarlo a través de Thawte o cualquier otra organización de firma SSL.Este paso es opcional y no es realmente necesario. Con fines de prueba, siempre se puede utilizar el certificado autofirmado que se ha generado a partir de la etapa anterior.Para generarlo, vaya a la página de solicitud de certificado de prueba Thawte y haga lo siguiente:
  • Seleccione "certificados de servidor Web SSL (Todos los servidores)" en el "seleccione su certificado de prueba".
  • No marque el PKCS # 7 casilla de verificación en el marco del "certificado de configurar"
  • Copie y pegue el archivo *.csr que generó más arriba en el cuadro de texto debajo de "solicitud de firma de certificado (CSR)"
  • Haga clic en siguiente en la parte inferior, lo que dará que un certificado de prueba gratuito de 21 días.
Copiar / pegar el certificado de prueba en el archivo www.thegeekstuff.com.crt como se muestra a continuación.
# cat www.thegeekstuff.com.crt
-----BEGIN CERTIFICATE-----
haidfshoaihsdfAKDJFAISHTEIHkjasdjadf9w0BAQUFADCB
kjadfijadfhWQIOUQERUNcMNasdkjfakljasdBgEFBQcDAQ
kjdghkjhfortoieriqqeurNZXCVMNCMN.MCNaGF3dGUuY29
-----END CERTIFICATE-----

Traducido con Google Translate de The Geek Stuff

04 febrero 2016

Análisis de rendimiento de Tryton

Análisis de rendimientode Tryton

En esta entrada vamos a enseñar como se realiza un análisis de rendimiento de una acción de Tryton. Para ello vamos a utilitzar la librería cProfile que nos facilita el propio lenguaje de programación Python.

Lo primero que haremos será declarar la siguiente función al principio del fichero trytond/trytond/protocols/dispatcher.py
import cProfile
def do_cprofile(func):
    def profiled_func(*args, **kwargs):
        profile = cProfile.Profile()
        try:
            profile.enable()
            result = func(*args, **kwargs)
            profile.disable()
            return result
        finally:
             for arg in args:
                print arg
            profile.print_stats()
    return profiled_func
Y justo encima de la función dispatch, añadimos el decorador do_cprofile de esta forma
@do_cprofile
def dispatch(host, port, protocol, database_name, user, session, object_type,
        object_name, method, *args, **kwargs):
    [...]
A continuación arrancamos el servidor Tryton tunelizando la salida estandard a un fichero para poder leerlo posteriormente:
$ ./bin/trytond -c trytond/etc/trytond.conf > /tmp/logs.txt
Una vez arrancado el servidor nos conectamos con el cliente de escritorio y ejecutamos la acción que queremos analizar y finalmente abrimos el fichero donde hemos volcado la salida del análisis para estudiarla.
$ pluma /tmp/logs.txt
 En dicho fichero podremos ver algo como esto:

[1]
::1
56894
JSON-RPC
db_name
1
c428287398bd415da1a8fff1422a69e1
model
product.template
read
[25278]
[u'customer_taxes', u'code', u'list_price', u'width_digits', u'weight', u'taxes_category', u'thumb_filename', u'height', u'review_location', u'magento_attribute_configurables', u'default_uom', u'template_attribute_set', u'direct_stock_supply', u'height_digits', u'category', u'manufacturer_name', u'thumb', u'review_types', u'purchasable', u'review', u'salable', u'forecast_quantity', u'esale_active', u'width', u'height_uom', u'length_uom', u'base_code', u'products', u'magento_product_type', u'technical_description', u'type', u'cost_price', u'weight_digits', u'product_suppliers', u'length_digits', u'review_description', u'sale_uom', u'esale_available', u'unique_variant', u'purchase_uom', u'width_uom', u'supplier_taxes', u'active', u'medicament', u'consumable', u'list_price_supplier', u'default_uom_category', u'manufacturer', u'delivery_time', u'weight_uom', u'account_expense', u'name', u'account_category', u'esale_slug', u'attachments', u'length', u'attribute_set', u'template_attributes', u'shops', u'account_revenue', u'cost_price_method', u'quantity', u'default_uom.rec_name', u'template_attribute_set.rec_name', u'category.rec_name', u'height_uom.rec_name', u'length_uom.rec_name', u'sale_uom.rec_name', u'purchase_uom.rec_name', u'width_uom.rec_name', u'default_uom_category.rec_name', u'manufacturer.rec_name', u'weight_uom.rec_name', u'account_expense.rec_name', u'attribute_set.rec_name', u'account_revenue.rec_name', u'rec_name', u'_timestamp']
{keys: values}
         8055053 function calls (6667984 primitive calls) in 10.650 seconds

   Ordered by: standard name

   ncalls  tottime  percall  cumtime  percall filename:lineno(function)
[...]
        2    0.076    0.038   10.435    5.217 move.py:1120(compute_quantities)
[...]
        2    0.000    0.000   10.457    5.228 move.py:50(_get_quantity)
[...]
        2    0.012    0.006   10.456    5.228 product.py:123(products_by_location)
        2    0.000    0.000   10.463    5.231 product.py:14(get_quantity)
        2    0.000    0.000   10.486    5.243 product.py:14(sum_product)
[...]
        2    0.000    0.000   10.462    5.231 product.py:29(get_quantity)
        2    0.000    0.000   10.474    5.237 product.py:34(sum_product)
[...]
        2    0.000    0.000   10.462    5.231 product.py:54(get_quantity)
[...]
        2    0.000    0.000   10.457    5.228 product.py:94(get_quantity)
[...]
En este caso vemos que el método read del modelo product.template se ejecuta 2 veces y cada una de las veces ha tardado unos 5 segundos.