Apache
Suporte Apache
Passo 1 – Gerando um Pedido CSR
Para gerar uma Solicitação de Assinatura de Certificado (CSR), siga os seguintes passos:
PARTE 1: Gerando um Par de Chaves
1. O utilitário “OpenSSL” é usado para criar ambos Chave Privada (chave) e Solicitação de Assinatura de Certificado (CSR). O “OpenSSL” geralmente é instalado sob usr/local/ssl/bin. Se você possui uma instalação personalizada precisará ajustar estas instruções apropriadamente.
2. Digite o seguinte domínio no prompt de comando:
openssl genrsa –des3 –out meudominio..key 2048
Nota: Se você não quiser utilizar uma frase de acesso, não utilize o comando –des3. Se o fizer,deixará a chave desprotegida.
3. Insira a frase de acesso PEM (Ela precisará ser lembrada posteriormente)
4. Isto irá gerar uma Chave Privada 2048 RSA e armazenar no arquivo meudominio.key.
PARTE 2: Gerando o CSR
1. Digite o seguinte domínio no prompt de comando:
openssl req –new –key meudominio.key –out meudominio.csr
Nota: Se você tiver incluído o comando “-des3”, então precisará da frase de acesso PEM. Digite-a agora.
NOTA: Há um problema conhecido nas instalações Apache/OpenSSL baseadas no MS Windows. Se você perceber um erro com o comando acima, por favor, digite o que segue:
openssl req -new -key meudominio.key -out meudominio.csr -config openssl.cnf
2. Introduza a informação para a Solicitação de Assinatura de Certificado. A mesma será exibida no certificado.
Nota: Os seguintes caracteres não são aceitos: < > ~ ! @ # $ % ^ * / \ ( ) ?.,&
-
Nome do País (código de 2 letras) [AU]:BR
-
Estado ou Provícia (nome completo) [Algum Estado]:Parana
-
Localidade (ex: cidade) []:Curitiba
-
Nome da Organização (ex: empresa) [Internet Widgits Pty Ltd]: Nome da Empresa Ltda ME
-
Nome da Unidade Organizacional (ex: setor) []:TI
-
Nome Popular (ex: SEU nome) []:www.seudominio.com.br(Precisa ser o NDTQ – Nome de Domínio Totalmente Qualificado)
Nota: Não insira os seguintes itens:
-
Endereço de E-mail []:
-
Uma senha difícil []:
-
Um nome opcional da empresa []:
3. Por favor, verifique o CSR para garantir que todas as informações estejam corretas. Use o seguinte comando:
openssl req -noout -text -in meudominio.csr
4. O CSR agora será criado e poderá ser enviado por e-mail ou através do site.
Passo 2- Instale seu Certificado SSL e Certificado Intermediário
Para Apache v1.X
1. Faça o download do(s) Certificado(s) Intermediário(s) apropriado(s) e salve no editor de texto como intermediario.pem.
2. Copie o seu Certificado SSL do e-mail de confirmação da emissão e então cole-o no editor de textos e salve como meudominio.pem.
3. Copie “meudominio.crt” e “intermediario.pem” para o diretório no qual você pretende armazenar seus certificados.
4. Abra o arquivo de configuração httpd.conf (algumas instalações mantém a seção SSL separada no ssl.conf) usando um editor de texto, e localize a seção virtual de hospedagem para o site o qual o Certificado SSL irá proteger.
Sua seção virtual de hospedagem precisa conter as seguintes diretrizes:
-
SSLCertificateChainFile
— Precisa apontar para a raiz Intermediária apropriada de certificados CA -
SSLCertificateFile
— Precisa apontar para o certificado de entidade final (o que você nomeou como “meudominio.crt”) -
SSLCertificateKeyFile
— Precisa apontar para o arquivo de chave privada associada ao seu certificado
5. Salve as alterações no arquivo e feche o editor de texto
6. Reinicie o apache.
Para Apache v2.X
1. Faça o download do certificado apropriado e salve-o no editor de texto como gs_raiz.pem.
2. Faça o download do(s) Certificado(s) apropriado(s) e salve-o(s) no editor de texto como intermediario.pem.
3. Copie o seu Certificado SSL do e-mail de confirmação de emissão e então cole-o no editor de textos e salve como meudominio.crt.
4. Copie “meudominio.crt” e “intermediario.pem” para o diretório no qual você pretende armazenar seus certificados.
5. Abra o arquivo de configuração httpd (algumas instalações mantém a seção SSL separada no arquivo ssl.conf) usando um editor de texto, e localize a seção virtual de hospedagem para o site o qual o Certificado SSL irá proteger.
Sua seção virtual de hospedagem precisa conter as seguintes diretrizes:
-
SSLCACertificateFile
— Precisa apontar para a raiz de certificado CA apropriada -
SSLCertificateChainFile
— Precisa apontar para a raiz intermediária apropriada de certificados CA previamente criada no Passo 1 acima -
SSLCertificateFile
— Precisa apontar para o certificado de entidade final (o que você nomeou como “meudominio.crt”) -
SSLCertificateKeyFile
— Precisa apontar para o arquivo de chave privada associada ao seu certificado
6. Salve as alterações no arquivo e feche o editor de texto
7. Reinicie o apache.
Passo 3 – Back Up/Exporte o seu certificado SSL
PARTE 1 – Exporte a Chave Privada e o Certificado SSL do Apache como PKCS12
Presume-se que você tenha DOIS arquivos: A Chave Privada e o Certificado. Você deve então agrupar a chave privada e o certificado em um único arquivo utilizando o comando OpenSSL
openssl pkcs12 -in a.crt -inkey a.key -export -out a.pfx
onde:
-
a.crt = certificado
-
a.key = chave privada
-
a.pfx = Arquivo Unificado PFX (contendo ambos a chave o certificado)
a.pfx é um arquivo único que contém ambos a chave privada e o certificado
PARTE 2 – Importe o PKCS12 para o Windows IIS
Para importar o arquivo PFX para o servidor IIS:
-
Clique em Iniciar (Start), Executar (Run), e digite “mmc”
-
No MMC clique em Arquivo (File), Adicionar/Remover (Add/Remove) Snap In
-
Quando a caixa de diálogo abrir, clique em adicionar (add)
-
No Console, expanda o recipiente de Certificados, clique com o botão direito na pasta pessoal
-
Selecione Todas as tarefas (All tasks), então importe
-
Aponte o Browse para o arquivo PFX e conclua o assistente
-
No IIS vá ao seu site e selecione Propriedades (Properties), e, em seguida, Segurança de Diretório (Directory Security)
-
Clique em Certificado de Servidor (Server Certificate), Atribuir um Certificado Existente (Assign an Existing Certificate), e selecione o certificado correto a partir dos que foram disponibilizados.
PARTE 1 – Exportando do Servidor Apache
1. Localize o diretório no qual seus certificado e chave estão armazenados (by default: /usr/local/apache/conf/ssl.crt/
or /etc/httpd/conf/ssl.crt/
).
2. Copie os arquivos nomedodominio.key e nomedodominio.crt para uma mídia de armazenamento removível, ou para uma unidade de rede.
PARTE 2 – Importando do Servidor Apache
1. Copie os arquivos nomedodominio.key e nomedodominio.crt para o diretório do Servidor Apacheto no qual você deseja armazenar seus certificados (by default: /usr/local/apache/conf/ssl.crt/
or /etc/httpd/conf/ssl.crt/
).
2. Abra o arquivo Apache httpd.conf em um editor de texto. Localize o SSL associado ao seu certificado. Verifique se você tem as duas diretivas abaixo no seu host virtual. Caso não estejam presentes, adicione-as.
-
SSLCertificateFile
/usr/local/apache/conf/ssl.crt/domainname.crt -
SSLCertificateKeyFile
/usr/local/apache/conf/ssl.key/domainname.key
Note que algumas instâncias do Apache armazenarão informações em um arquivo httpd-ssl.conf. Se o seu httpd.conf não contiver informações, você precisará localizar e alterar o httpd-ssl.conf como mostrado acima.
3. Salve as alterações e feche o editor.
4. Inicie ou Reinicie o seu servidor web Apache
Importando um arquivo PFX para o Apache com o OpenSSL
PARTE 1 – Converta seu arquivo PFX em um PEM e extraia os seus certificados
1. Mova o seu arquivo PFX para o diretório OpenSSL/Bin
2. Abra o OpenSSL na linha de comando.
3. Digite no comando seguinte para transformar o seu arquivo PFX em um arquivo PEM:
-
pkcs12 -in yourdomain.pfx -out yourdomain.pem
(A chave privada estará criptografada, você pode removê-la utilizando o comando-nodes
como mostrado abaixo) -
pkcs12 -nodes -in yourdomain.pfx -out yourdomain.pem
4. Acesse o diretório OpenSSL/Bin e localize o arquivo seudominio.pem e o abra no editor de texto (Bloco de Notas).
5. O arquivo PEM contém a sua Chave Privada, seu certificado SSL, seu certificado Intermediário, seu Certificado Cross e o seu Certificado da Raiz GlobalSign, tudo nesta ordem. Cada um destes certificados precisam ser copiados e colados em seu próprio arquivo.
6. Localize a Chave Privada, que inclui e é definida pelo texto ‘-----BEGIN RSA PRIVATE KEY-----
…. conteúdo do certificado …. -----END RSA PRIVATE KEY-----
, copie a Chave Privada, abra um novo editor de texto, cole a Chave Privada no editor e salve como seudominio.key
7. Localize o certificado SSL, que inclui -----BEGIN CERTIFICATE-----
…. conteúdo do certificado…. -----END CERTIFICATE-----
, copie o certificado SSL, abra um novo editor de texto, cole o certificado SSL no editor de texto e salve como seudominio.crt.
PARTE 2 – Atribua as diretivas corretas para o arquivo de Configuração
Quando você tiver feito todas as alterações detalhadas na PARTE 1, precisará atribuir as diretivas corretas ao arquivo de configuração. Você poderá encontrá-las no arquivo httpd.conf ou no ssl.conf.
1. Abra o arquivo httpd.conf e procure pela seção correspondente ao site que o Certificado SSL irá proteger (se você não conseguir localizar a seção no arquivo httpd.conf, abra o arquivo httpd-ssl.conf e procure pela mesma).
2. A seção precisará conter as seguintes diretrizes:
-
SSLCertificateChainFile
— Precisará apontar para os certificados.cabundle,dessa forma , após o nome da diretiva, insira o caminho e nome do arquivo, e remova o &hash; do início da linha. -
SSLCertificateFile
— Precisará apontar para meudominio.crt, dessa forma, após o nome da diretiva, insira os nomes do caminho e arquivo e remova o &hash; do início da linha. -
SSLCertificateKeyFile
— Precisará apontar para meudominio.key, dessa forma, após o nome da diretiva, insira os nomes do caminho e arquivo e romova o &hash; do início da linha.
3. Salve as alterações e feche o editor de texto.
4. Reinicie o Apache.
Voltar