Ir para o final dos metadados
Ir para o início dos metadados

 


 

 

 

Manuais e instruções de uso da Certificado Corporativa 

ICPEdu - Infraestrutura de Chaves Públicas para Ensino e Pesquisa

 

Introdução

A emissão de certificados é feita através do portal web do serviço, no entanto, alguns passos adicionais como emissão de arquivo CSR para solicitar a emissão do certificado, e até mesmo a instalação do certificado conta com alguns detalhes que serão explorados aqui.

Certificados emitidos através deste serviço tem como objetivo suprir a necessidade crescente das instituições por certificados que sejam automaticamente reconhecidos pelos principais browsers e aplicações comerciais, se sua necessidade não se baseia nesta demanda recomendamos que utilize o serviço de AC SSL ICPEdu.

As credênciais de acesso ao portal são fornecidas pela equipe de gestão do serviço na fase final do processo de adesão.

1. Como gerar um arquivo CSR

Toda requisição de certificado digital é feita com base em um arquivo CSR (Certificate Signing Request), no qual constam todas as informações que serão inseridas neste certificado.

No serviço de AC SSL Corporativa da ICPEdu é possível gerar o csr de uma maneira:

    • Da forma convencional (recomendável), onde normalmente usamos o openssl ou IIS (Internet Information Services) do servidor onde o certificado será instalado.

Após uma análise recente sobre conformidade, a GlobalSign eliminou a opção AutoCSR, como forma de geração de CSRs a partir de 26 de fevereiro de 2018. Isso significa que depois dessa data, todos os assinantes de certificado SSL precisarão gerar e enviar uma CSR durante o processo de solicitação e de reemissão. 

Para mais detalhes sobre como gerar uma CSR, consulte nossos artigos de suporte (em Inglês). 

1.1. Gerando CSR com openssl

Recomendamos que seu arquivo CSR seja gerado da forma tradicional, utilizando o openssl.

Clique aqui para assistir ao vídeo tutorial de como gerar um arquivo CSR

2. Emitindo o certificado

2.1. Emitindo certificados com arquivo CSR

  1. Entrar no portal pela URL: corporativo.icp.edu.br.

  2. Logar com usuário e senha fornecido pela área de serviços da RNP.




  3. Certifique-se que a aba SSL GERENCIADO (MANAGED SSL) esteja selecionada, localize a sua instituição e clique em: Solicitar Certificado (Order Certificate).





  4. Inclua o seu CSR, e clique em "Verificar este CSR"





  5. Após verificar seu CSR, verifique o Nome Comum e Crie sua senha;





  6. Feito o passo acima solicite a geração "Gere uma senha estendida


Clicar em "Continuar"


7. Configurar Produto

Selecionando "Organization SSL novo menu é aberto

Em "Produtos", selecionar OrganizationSSL;

Em "Inserir Código Promocional", selecionar "Não";

Em "Tipo de Certificado SS", selecionar a sua necessidade. Para esta caso, " ";

Em "Algorítimo de Assinatura", manter "SHA256";

Em "Período de validade", selecionor a sua necessidade. Para este caso, "3 anos";

Ao selecionar o "Período de validade", um novo menu é aberto:


Em "Adicione SANs (Nomes Alternativos do Assunto)", para nosso caso selecione "Sem SANs;

Em "Você está fazendo uma troca a partir de um concorrente?", selecionar "Não, não estou trocando";

Em "Você está renovando o certificado?", Selecionar "Não";

Em "Personalizar data de início/término", selecionar "Sem datas personalizadas";

Feito isso, clicar em "Continuar"

Ponto de Contato

Em "Usuário do GCC", selecione o analista autorizado e clicar em "Preenchimento automático"

Feito isso, clique em "Continuar"

Organização

Verifique as informações postadas e clique em "Continuar".

Pagamentos

Não há nada a fazer aqui, clique em "Continuar"

Confirmar e Concluir

Verificar todas as informações, marque a opção "*Eu concordo com o Acordo Assinante", e clique em "Concluir"

Feito isso, você receberá um email com a confirmação do pedido.

Com o número do seu pedido, busque-o na guia: "Localizar & reportar certificado"


Digite o número da sua solicitação e clique em "Pesquisar";

Clique em "Obter Cert" e reaize o Download do seu certificado.

PS. Não perca a senha gerada.

 

2.2. Emitindo certificados com AutoCSR

Esta opção não é mais permitida conforme explicado no item:

"1. Como gerar um arquivo CSR"

 

 2.3. Opções extras na geração de certificados.

  1. Products: O produto sempre será OrganizationSSL, pois é este o produto contratado da GlobalSign pela RNP.


  2. Enter Promotional Code: A opção de código promocional não precisará ser utilizada nunca, mesmo o emissor possuindo um código promocional, visto que todos os certificados emitidos pelo convênio da RNP com a GlobalSign não tem custo algum para as instituições.


  3. SSL Certificate Type

    Existem dois possíveis tipos de certificados a serem emitidos, aqui o emissor tem autonomia para escolher qual deles deseja utilizar.

     

    1. Standard SSL Certificate: Modelo de certificado comum, emitido para proteção de um domínio específico. Ex.: corporativo.rnp.br


    2. Wildcard SSL Certificate: Modelo de certificado especial, emitido para proteção de uma quantidade ilimitada de domínios de primeiro nível. Certificados wildcard possuem o formato *.seudomínio.com.br. Por exemplo, o certificado wildcard *.rnp.br pode ser utilizado para proteção de vários domínios diferentes de primeiro nível como "corporativo.rnp.br", "video.rnp.br", "mconf.rnp.br" e etc. ATENÇÃO: Apenas subdomínios de primeiro nível serão protegidos, subdomínios do tipo “segundo.primeiro.rnp.br” não serão.




  4. Signing Algorithm: O algoritmo utilizado para assinar o certificado é o SHA256 e não temos opção para alterá-lo, sendo assim, esta opção é fixa e apenas para informação.

  5. Validity Period: O período de validade padrão para os certificados é de 2 anos, mas este prazo pode ser alterado para 1, 2 ou 3 anos.



  6. Add Free Unified Communications Support


     Marque as opções desta opção caso queira emitir um certificado com suporte a Unified Communications (UC). As opções para informar os domínios de cada SAN serão solicitadas mais a frente (passo 3) do processo de emissão de certificados.


  7. Add specific Subject Alternative Names (SANs)


    Permite que vários domínios e subdomínios sejam adicionados a um único certificado. Utilizado para IPs compartilhados que não estão usando Server Name Indication (SNI).

    SANs podem ser subdomínios de qualquer nível ou domínios independentes (incluindo as SANs de Unified Communications Support - item 6) . Cada certificado permite até 100 SANs. Nos certificados com SANs, todos os domínios e subdomínios protegidos estarão especificados nos detalhes do certificado. Clicando em “Yes” uma nova tela aparecerá com as opções referentes aos tipos de SANs, você deverá escolher a quantidade de cada tipo de domínio a ser incluido no certificado (100 no total e não para cada tipo), mais adiante no processo de emissão de certificados (passo 3) o portal irá solicitar cada domínio, subdomínio, endereço ip ou nome do servidor conforme as figuras abaixo.


  8. Are you switching from a Competitor?: A opção mais comumente usada é "No, Im not switching", no entanto, se você já possui um certificado válido de outra empresa certificadora e pretende migrar para a AC SSL Corporativa, você pode fazer sem perder o tempo de validade que ainda resta no atual certificado, para isso você deve marcar a opção "Yes, I am switching". Quando se está migrando de outra empresa ou renovando um certificado tem-se a opção de utilizar um bônus de mais 30 dias no nosso certificado, para isto basta marcar Yes na opção "30 days bonus".
    Mais a frente no processo de emissão de certificados (Passo 3), o portal tentará fazer a leitura do certificado a ser substituído para coletar alguns dados, caso a leitura automática do certificado não seja possível será necessário colar manualmente o conteúdo do atual certificado no portal.



  9. Are you renewing this Certificate?: Esta opção existe para facilitar a renovação de certificados já emitidos através da AC SSL Corporativa da ICPEdu, para renovar um certificado basta inserir o número da ordem original de emissão do certificado e o conteúdo do mesmo. Caso você esteja renovando um certificado que tenha menos de 90 dias para vencer, os dias restantes para o vencimento serão incluídos na validade do seu novo certificado. A opção de utilizar um bônus de mais 30 dias no certificado também está disponível para renovação, para utilizá-la basta marcar Yes na opção "30 days bonus".


  10. Set Certificate Start & Expiration date?: Esta opção nos permite informar o prazo de validade (data de início e data de fim) do certificado a ser emitido. Nesta primeira tela só marcamos o checkbox, as informações de data de início e fim serão solicitadas apenas no passo 3 do processo de emissão de certificados. Este prazo tem a duração mínima de 6 meses e máxima de 1 ano.

3. Baixando os certificados emitidos

Cerca de 10 a 20 minutos após você finalizar sua solicitação de emissão de certificado você deve receber um outro e-mail informando que o certificado foi emitido e está pronto para ser utilizado.

Para fazer o download do certificado:

    1. Entrar no portal pela URL: corporativo.icp.edu.br.

    2. Logar com usuário e senha fornecido pela área de serviços da RNP.

    3. Certifique-se que a aba MANAGED SSL esteja selecionada e clique em Search Order History.



    4. Clique em Search.



    5. Encontre o seu certificado na lista que irá surgir e clique em Get Cert.
       

Gerenciamento dos certificados

Uma lista com todos os certificados já emitidos para o seu domínio será exibida, e nela você poderá:

  • Baixar (Get) qualquer certificado,
  • Revogar (Revoke) um certificado válido ou
  • Reemitir (Reissue) os seus certificados expirados.

 

 

4. Instalando os certificados

A instalação dos certificados é simples e feita com apenas alguns arquivos e comandos a mais nos arquivos de configuração do servidor web.

A cadeia de certificação de um certificado emitido pelo serviço de AC SSL Corporativa da ICPEdu fica da seguinte maneira:

Neste caso nosso certificado que foi emitido para o domínio *.rnp.br possui:

    • Os certificados ICPEdu Trusted Root CA SHA256 G2 como certificados intermediários e
    • O certificado GlobalSign como o certificado raiz da nossa cadeia de certificação.

      CertificadoFunção
      gs_root.pemGlobalSign Root R3 - Certificado raiz da cadeia de certificação da AC SSL Corporativa da ICPEdu
      intermediate.pemTrusted Root CA SHA256 G2 + ICPEdu: Arquivo com dois certificados intermediários concatenados formando um único o certificado intermediário da cadeia de certificação da AC SSL Corporativa da ICPEdu



4.1. Instalando um certificado gerado com CSR convencional

  1. Faça aqui o download do certificado raiz da GlobalSign (GlobalSign Root R3) e salve-o como gs_root.pem.

     

  2. Faça aqui o download do certificado intermediário (Trusted Root CA SHA256 G2 + ICPEdu) e salve-o como intermediate.pem.


  3. Faça o download do seu certificado emitido através da AC SSL Corporativa da ICPEdu como <seudomínio>.cer(veja como fazer o download do seu certificado na sessão Baixando os certificados emitidos).

  4. Salve todos os 3 arquivos juntamente com sua private key (suachave.key) no diretório que você planeja guardar seus certificados (neste exemplo utilizamos /etc/apache/ssl/icpedu).

  5. Abra seu arquivo de configuração do apache em um editor de textos, encontre o virtual host que você deseja configurar e complemente com os comandos abaixo:

    SSLCACertificateFile: Esta diretiva deve apontar para o certificado da AC Raiz da GlobalSign.
    SSLCertificateChainFile: Esta diretiva deve apontar para o certificado concatenado, contendo os certificados Trusted Root CA SHA256 G2 e o certificado da ICPEdu.
    SSLCertificateFile: Esta diretiva deve apontar para o seu certificado pelo portal, através do serviço ICPEdu.
    SSLCertificateKeyFile: Esta diretiva deve apontar para o seu arquivo contendo a chave privada associada ao seu certificado.

    Um exemplo de como ficaria a configuração:


    SSLCACertificateFile /etc/apache/ssl/icpedu/gs_root.pem
    SSLCertificateChainFile /etc/apache/ssl/icpedu/intermediate.pem
    SSLCertificateFile /etc/apache/ssl/icpedu/seudominio.crt
    SSLCertificateKeyFile /etc/apache/ssl/icpedu/suachave.key


  6. Reinicie o serviço do apache e faça o teste de acesso: sudo service apache2 restart



4.2. Instalando um certificado gerado com AutoCSR

  1. Faça aqui o download do certificado raiz da GlobalSign (GlobalSign Root R3) e salve-o como gs_root.pem.

     

  2. Faça aqui o download do certificado intermediário (Trusted Root CA SHA256 G2 + ICPEdu) e salve-o como intermediate.pem.

     

  3. Faça o download do seu certificado gerado através da AC SSL Corporativa da ICPEdu utilizando o recurso AutoCSR como <seudomínio>.pfx. (veja como fazer o download do seu certificado na sessão Baixando os certificados emitidos).

  4. Quando o certificado é gerado utilizando o recurso AutoCSR, é necessário que este seja "desmembrado" de forma que a chave privada e a chave pública sejam extraídas para arquivos diferentes que serão utilizados na configuração do apache. Para desmembrar o arquivo .pfx siga os passos abaixo:
    1. Execute o comando para extrair a chave privada: openssl pkcs12 -in <seudomínio>.pfx -nocerts -nodes -out privatekey.key.
    2. Será solicitada uma senha para acesso ao arquivo, esta senha é a gerada através do AutoCSR que é: senha.que.você.digitou + senha.aletoria.do.sistema.
    3. Execute o comando para remover a encriptação da chave privada: openssl rsa -in privatekey.key -out <suachave>.key.
    4. Execute o comando para extrair o certificado: openssl pkcs12 -in <seudominio>.pfx -clcerts -nokeys -out <seudominio>.crt.

  5. Salve todos os arquivos (gs_root.pem, intermediate.pem, <seudominio>.crt e <suachave>.key) no diretório que você planeja guardar seus certificados (neste exemplo utilizamos /etc/apache/ssl/icpedu).

  6. Abra seu arquivo de configuração do apache em um editor de textos, encontre o virtual host que você deseja configurar e complemente com os comandos abaixo:

    SSLCACertificateFile: Esta diretiva deve apontar para o certificado da AC Raiz da GlobalSign.
    SSLCertificateChainFile: Esta diretiva deve apontar para o certificado concatenado, contendo os certificados Trusted Root CA SHA256 G2 e o certificado da ICPEdu.
    SSLCertificateFile: Esta diretiva deve apontar para o seu certificado pelo portal, através do serviço ICPEdu.
    SSLCertificateKeyFile: Esta diretiva deve apontar para o seu arquivo contendo a chave privada associada ao seu certificado.

    Um exemplo de como ficaria a configuração:


    SSLCACertificateFile /etc/apache/ssl/icpedu/gs_root.pem
    SSLCertificateChainFile /etc/apache/ssl/icpedu/intermediate.pem
    SSLCertificateFile /etc/apache/ssl/icpedu/seudominio.crt
    SSLCertificateKeyFile /etc/apache/ssl/icpedu/suachave.key


  7. Reinicie o serviço do apache e faça o teste de acesso: sudo service apache2 restart

5. Conclusão

Conclusão

Se tudo correu bem, sua página será exibida conforme as figuras abaixo, significando que a conexão está sendo encriptada e que o certificado foi reconhecido pelos browsers com sucesso.

 

Dúvidas, críticas ou sugestões

Quer aderir a modalidade AC SSL Corporativa? Clique aqui e entenda o processo de adesão.

Tem dúvidas sobre o a modalidade e AC SSL Corporativa? Clique aqui e acesse nosso FAQ.

Quer aprender mais sobre certificados wildcard? Clique aqui.

Quer aprender mais sobre certificados com Subject Alternative Names (SAN's)? Clique aqui.

Acesso o site oficial do serviço clicando aqui.

atendimento@icp.edu.br
Service Desk RNP

Telefones: +55 (61) 3243-4330

Fone@RNP: (61) 1030-3001 e (61) 1030-3002

E-mail: sd@rnp.br

O horário de atendimento do Service Desk é das 08:00 as 22:00 todos os dias.

Etiquetas
  • Nenhum
Escreva um comentário…