Neste artigo poderá encontrar instruções de instalação dos certificados TLS/SSL nos seguintes servidores:
Apache & mod_ssl
- Extraia todo o conteúdo do ficheiro ZIP que lhe foi enviado e copie/mova-os para o seu servidor. O conteúdo extraído geralmente terá os seguintes nomes: yourDomainName.crt e yourDomainName.ca-bundle.
- Mova todos os ficheiros relacionados com o certificado para os seus diretórios apropriados.
Uma configuração típica:
1. Mova a Chave Privada que foi gerada anteriormente para o diretório ssl.key, que geralmente se encontra em /etc/ssl/. Este deve ser um diretório ao qual apenas o Apache pode aceder.
2. Mova o seuDomainName.crt e yourDomainName.ca-bundle para o diretório ssl.crt, que geralmente se encontra no diretório /etc/ssl/.
3. Edite o ficheiro que contém a configuração SSL com o seu editor de texto favorito.
-
- Exemplos: nano, vi, pico, emacs, mousepad, notepad, notepad++, etc.
- Nota: A localização deste ficheiro pode variar de acordo com cada distribuição. Será referenciado no ficheiro de configuração global do Apache. Procure pelas linhas que começam com include.
4. Ficheiro de Configuração do Apache:
-
-
-
- Fedora/CentOS/RHEL: /etc/httpd/conf/httpd.conf
- Debian e baseados em Debian: /etc/apache2/apache2.conf
-
-
Ficheiro de Configuração SSL:
Alguns nomes possíveis:
- httpd-ssl.conf
- ssl.conf
- No diretório /etc/apache2/sites-enabled/.
Nota: Se necessário, consulte a documentação da sua distribuição sobre o Apache e SSL ou consulte a Documentação do Apache2 da Apache Foundation.
5. Na secção VirtualHost do ficheiro, adicione estas diretivas se ainda não existirem. É melhor comentar o que já está presente e adicionar as entradas abaixo.
- SSLEngine on
- SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
- SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
- SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***
6. Apache 1.3.x:
SSLEngine on SSLCertificateKeyFile /etc/ssl/ssl.key/server.key SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt SSLCACertificateFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle
Apache 2.x:
SSLEngine on SSLCertificateKeyFile /etc/ssl/ssl.key/server.key SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle
7. Guarde o seu ficheiro de configuração e reinicie o serviço Apache. Por vezes, é necessário 'parar' e depois 'iniciar' o Apache, em vez de emitir o comando 'restart' para que as alterações tenham efeito.
Notas: Se optou por ter uma palavra-passe na sua chave privada, ser-lhe-á pedido que a introduza sempre que o Apache for iniciado ou reiniciado. O Apache não iniciará completamente até que a palavra-passe seja introduzida.
O ficheiro de configuração é frequentemente chamado httpd.conf ou apache.conf, embora por vezes a secção específica do SSL seja colocada num ficheiro separado chamado ssl.conf e ligada a partir da configuração principal por um comando 'Include'. Às vezes, a secção VirtualHost estará num ficheiro específico para esse site, num subdiretório frequentemente rotulado como sites-enabled/.
Grande parte do layout dos ficheiros de configuração do Apache e das convenções de nomenclatura de diretórios é controlada pela distribuição do sistema operativo que está a utilizar. É recomendável que consulte o site e a documentação da distribuição para confirmar as localizações.
OpenSSL
1. Copie o seu certificado para um ficheiro Você receberá um email com o certificado no email (seunomededominio.crt). Quando visualizado num editor de texto, o seu certificado terá uma aparência semelhante a esta:
-----BEGIN CERTIFICATE----- MIAGCSqGSIb3DQEHAqCAMIACAQExADALBgkqhkiG9w0BBwGggDCCAmowggHXAhAF UbM77e50M63v1Z2A/5O5MA0GCSqGSIb3DQEOBAUAMF8xCzAJBgNVBAYTAlVTMSAw (.......) E+cFEpf0WForA+eRP6XraWw8rTN8102zGrcJgg4P6XVS4l39+l5aCEGGbauLP5W6 K99c42ku3QrlX2+KeDi+xBG2cEIsdSiXeQS/16S36ITclu4AADEAAAAAAAAA
-----END CERTIFICATE-----
Copie o seu Certificado SSL para o diretório onde irá guardar os seus certificados. Neste exemplo, usaremos /etc/ssl/crt/. Os ficheiros de chave pública e privada já estarão neste diretório. A chave privada usada no exemplo será denominada private.key e a chave pública será seunomededominio.crt. É recomendável que torne o diretório que contém o ficheiro de chave privada apenas legível pelo root.
2. Instale o Certificado Intermediário Você precisará instalar os certificados CA Intermediários para que os navegadores confiem no seu certificado. Os certificados CA Intermediários estão contidos no ficheiro ca-bundle que foi anexado ao seu email no ficheiro zip (isto deve ser denominado SEUNOMEDOSERVIDOR.ca-bundle). Na secção Virtual Host relevante para o seu site, terá de concluir o seguinte para obter a referência correta deste ficheiro:
Copie o ficheiro .SEUNOMEDOSERVIDOR.ca-bundle para o mesmo diretório que os ficheiros de certificado e chave e nomeie-o como ca.txt
Adicione a seguinte linha à secção SSL do ficheiro httpd.conf (assumindo que /etc/httpd/conf/ é o diretório onde copiou o ficheiro CA Intermediário) Se a linha já existir, altere-a para ler o seguinte:
SSLCACertificateFile /etc/httpd/conf/SEUNOMEDOSERVIDOR.ca-bundle
Se estiver a usar um local diferente e nomes de ficheiros de certificados, terá de alterar o caminho e o nome do ficheiro para refletir o caminho e o nome do ficheiro que está a utilizar. A secção SSL do ficheiro de configuração atualizado deve agora ler semelhante a este exemplo (dependendo do nome do ficheiro e dos diretórios usados):
SSLCertificateFile /etc/ssl/crt/seunomededominio.crt
SSLCertificateKeyFile /etc/ssl/crt/private.key SSLCACertificateFile /etc/ssl/crt/SEUNOMEDOSERVIDOR.ca-bundle
Guarde o seu ficheiro de configuração e reinicie o Apache.
Nota: O ficheiro de configuração SSL será sempre referenciado no ficheiro de configuração do apache se a configuração não estiver incluída nele. Procure as linhas que começam por 'include', que é a diretiva para incluir outros ficheiros, etc. Por exemplo, dependendo da distribuição, poderá chamar-se ssl.conf, httpd-ssl.conf, etc.
Microsoft IIS 7.x
- Seleccione "Administrative Tools".
- Inicie o "IIS Manager".
- Clique no nome do seu servidor onde o certificado será instalado.
- No menu central, faça duplo clique em "Server Certificates" (Certificados de Servidor)
- No menu "Actions" (no lado direito), clique em "Complete Certificate Request"
- Isto abrirá o assistente para a instalação do certificado.
- Navegue até a pasta onde salvou o certificado recebido da Sectigo . Este é o arquivo recebido no .zip que se chama seudominio.crt. Coloque o Friendly Name (Nome Amigavel) desejado. O Nome Amigável não é parte do certificado, é apenas um nome para o técnico reconhecer mais facilmente o certificado. Clique em "OK".
- Depois que o certificado estiver devidamente instalado no servidor, você terá que atribuir o certificado ao site apropriado usando o IIS.
- No menu "Connections" na janela principal do Internet Information Services (IIS), seleccione o nome do servidor onde o certificado está instalado.
- Em "Sites", selecione o site onde irá utilizar o SSL.
- No menu "Actions" (do lado direito), clique em "Bindings"
- Isso abrirá a janela "Site Bindings
"
- Na janela "Site Bindings", clique em "Add". Isso abrirá a janela "Add Site Binding".
- Em "Type", escolha https. O endereço IP deve ser o endereço do site ou estar como Todos os Não Atribuídos e a porta padrão para SSL é a 443. O campo "Certificado SSL" deve especificar o certificado que foi instalado no passo anterior. Clique em "OK".
Uma vez concluídos os passos acima, você terá que instalar os certificados raiz e intermediários manualmente.
Instalando o Certificado da Raiz e Intermediário
Juntamente com o seu certificado, você recebeu 2 Certificados das Raízes da Sectigo. Guarde estes certificados no ambiente de trabalho do seu servidor, depois:
- Clique no botão Iniciar e selecione Executar. Digite mmc.
- Clique em Arquivo e selecione Adicionar/Remover Snap-in.
- Selecione a opção Adicionar e escolha Certificados e clique em Adicionar.
- Selecione Conta do Computador e clique em Concluir.
- Feche a caixa aberta e clique em OK no Adicionar/Remover Snap-in.
Para Instalar o Certificado Intermediário:
- Clique com o botão direito do rato em Autoridades Certificadoras Intermediárias, selecione Todas as Tarefas e, em seguida, selecione Importar.
- Siga o Assistente de Instalação, localizando o Certificado Intermediário quando solicitado.
Para Instalar o Certificado da Raiz:
- Clique com o botão direito do rato em Autoridades Certificadoras Raiz Confiáveis, selecione Todas as Tarefas e de seguida, selecione Importar.
- Siga o Assistente de Instalação, localizando o Certificado Principal quando solicitado. Você terá que reiniciar o IIS para finalizar a instalação.
Deverá reiniciar o IIS para finalizar a instalação.