Skip to end of metadata
Go to start of metadata

Como emitir um certificado digital (X.509) no portal da Globalsign

Introdução

A emissão de certificados é feita através do portal web do serviço, no entanto, alguns passos adicionais como emissão de arquivo CSR para solicitar a emissão do certificado, e até mesmo a instalação do certificado conta com alguns detalhes que serão explorados aqui.

Certificados emitidos através deste serviço tem como objetivo suprir a necessidade crescente das instituições por certificados que sejam automaticamente reconhecidos pelos principais browsers e aplicações comerciais, se sua necessidade não se baseia nesta demanda recomendamos que utilize o serviço de AC SSL ICPEdu.

As credênciais de acesso ao portal são fornecidas pela equipe de gestão do serviço na fase final do processo de adesão.

Como gerar um arquivo CSR

Toda requisição de certificado digital é feita com base em um arquivo CSR (Certificate Signing Request), no qual constam todas as informações que serão inseridas neste certificado.

No serviço de AC SSL Corporativa da ICPEdu é possível gerarmos o csr de duas maneiras:

    • Da forma convencional (recomendável), onde normalmente usamos o openssl ou IIS (Internet Information Services) do servidor onde o certificado será instalado.
    •  Utilizando o recurso de AutoCSR fornecido pelo portal da GlobalSign.

Gerando CSR com openssl

Recomendamos que seu arquivo CSR seja gerado da forma tradicional, utilizando o openssl.

CLIQUE AQUI PARA ASSISTIR AO VÍDEO TUTORIAL DE COMO GERAR UM ARQUIVO CSR

Gerando CSR com o AutoCSR

O recurso AutoCSR é utilizado durante a emissão do certificado, desta forma, ele será explicado no procedimento de emissão de certificado com AutoCSR.

CLIQUE AQUI PARA SER REDIRECIONADO PARA O PROCEDIMENTO. 

Emitir o certificado

Emitir certificados com arquivo CSR

Siga os passos abaixo para emitir os certificados com o arquivo CSR.

  1. Entrar no portal pela URL: corporativo.icp.edu.br.

  2. Logar com usuário e senha fornecido pela área de serviços da RNP.



  3. Certifique-se que a aba MANAGED SSL esteja selecionada e clique em: Order Certificate.



  4. Escolher o domínio (Domain Name) para o qual pretende emitir o certificado e clicar no botão Order Certificate correspondente ao domínio. (Neste caso foi escolhido o domínio rnp.br)



  5. Certificate Application: Esta tela apresenta diversas opções, todas elas podem ser deixadas com o valor padrão (Por padrão os certificados são emitidos com o prazo de validade de 2 anos, a alteração deste prazo pode ser feita nesta tela). Clique no botão Continue no fim da página;


    ALGUMAS DAS OPÇÕES DESTA PÁGINA PODEM TER SEUS VALORES ALTERADOS, PARA SABER MAIS SOBRE ISSO CLIQUE AQUI.

  6. Point of Contact for Certificate Delivery/Vetting Issues: Esta tela informa quem será ponto de contato para questões relacionadas a este certificado em específico.

    1. Caso o ponto de contato seja você, é só selecionar seu usuário em GCC Users, clicar no botão Auto Fill e em seguida no botão Continue.
    2. Caso você não seja o ponto de contato, todos os campos marcados com * devem ser preenchidos obrigatoriamente e em seguida clique no botão Continue.
    3. Caso o combo-box Is this the Point of Contact for communications? seja marcado, estes dados serão utilizados como sendo do ponto de contato principal para este certificado, logo, ele receberá o certificado emitido, irá receber avisos de renovação quando o certificado estiver próximo de expirar e comunicações sobre assuntos técnicos relacionados a este certificado.



  7. Enter Certificate Signing Request (CSR): Esta é a etapa onde entramos com as informações de solicitação do certificado (CSR). Marcando a opção Yes, I already have a CSR é só copiar o conteúdo do arquivo e colar no campo Enter Yout CSR here e depois clique em Continue.



  8. Certificate Signing Request (CSR): A principal função desta tela é a conferência dos dados. Os dados apresentados na coluna Parsed CSR / AutoCSR Contents são os dados contidos no CSR, já os dados apresentados na coluna Certificate Contents when issued são os dados que estarão contidos no certificado a ser emitido, se os dados estiverem corretos, clique em Continue, se não, recrie o CSR com os dados corretos, clique em Back e insira o novo CSR.



  9. Your Profile Information: Esta etapa existe somente para conferência dos dados do perfil da organização, se estiver tudo certo clique em  Continue.


    NO CASO DE ALGUMA INCONSISTÊNCIA NAS INFORMAÇÕES APRESENTADAS AQUI, FAVOR ABRIR UM CHAMADO JUNTO AO SERVICE DESK DA RNP SOLICITANDO A CORREÇÃO. DEVEM SER INFORMADOS NO CHAMADO O PARÂMETRO A SER CORRIGIDO, O VALOR ATUAL E O VALOR PARA O QUAL ELE DEVERÁ SER ALTERADO.

  10. Payment Information: Nesta etapa não faremos alteração, visto que ela se refere ao método de pagamento dos certificados e o serviço de AC SSL Corporativa da ICPEdu fornece certificados totalmente gratuitos às suas instituições usuárias. Deixe a opção This application has been made using a Free Coupon marcada e clique em Continue.



  11. Confirm Details: A principal função desta tela é a conferência de TODOS os dados informados até então, se tudo estiver certo é só marcar I agree to the Subscriber Agreement e clicar em Complete para gerar o certificado.

    Atenção

    Após esta tela nenhuma das informações deste certificado poderá sofrer alteração.




  12. Certificate Application Completed: Aqui sua solicitação de emissão de certificado foi finalizada. Esta tela irá disponibilizar um número de chamado e qualquer dúvida ou suporte referente a este certificado pode ser feita com este número.



    APÓS TODO O PROCESSO SER FINALIZADO VOCÊ DEVERÁ RECEBER INSTANTANEAMENTE UM E-MAIL INFORMANDO QUE SUA SOLICITAÇÃO FOI FEITA E QUE O PEDIDO ESTÁ SENDO PROCESSADO.

Emitindo certificados com AutoCSR

  1. Entrar no portal pela URL: corporativo.icp.edu.br.

  2. Logar com usuário e senha fornecido pela área de serviços da RNP.



  3. Certifique-se que a aba MANAGED SSL esteja selecionada e clique em: Order Certificate.



  4. Escolher o domínio (Domain Name) para o qual pretende emitir o certificado e clicar no botão Order Certificate correspondente ao domínio. (Neste caso foi escolhido o domínio rnp.br)



  5. Certificate Application: Esta tela apresenta diversas opções, todas elas podem ser deixadas com o valor padrão. Clique no botão Continue no fim da página;


    ALGUMAS DAS OPÇÕES DESTA PÁGINA PODEM TER SEUS VALORES ALTERADOS, PARA SABER MAIS SOBRE ISSO CLIQUE AQUI.

  6. Point of Contact for Certificate Delivery/Vetting Issues: Esta tela informa quem será ponto de contato para questões relacionadas a este certificado em específico.

    1. Caso o ponto de contato seja você, é só selecionar seu usuário em GCC Users, clicar no botão Auto Fill e em seguida no botão Continue.
    2. Caso você não seja o ponto de contato, todos os campos marcados com * devem ser preenchidos obrigatoriamente e em seguida clique no botão Continue.
    3. Caso o combo-box Is this the Point of Contact for communications? seja marcado, estes dados serão utilizados como sendo do ponto de contato principal para este certificado, logo, ele receberá o certificado emitido, irá receber avisos de renovação quando o certificado estiver próximo de expirar e comunicações sobre assuntos técnicos relacionados a este certificado.



  7. Enter Certificate Signing Request (CSR): Esta é a etapa onde entramos com as informações de solicitação do certificado (CSR). Neste exemplo utilizaremos o recurso oferecido pelo portal chamado de AutoCSR, este recurso facilita a emissão do certificado crian automaticamente o arquivo CSR, que é necessário para a emissão do certificado, com base nos dados cadastrais do usuário, para utilizar o recurso de AutoCSR:
    1. Marque a opção I do not have a CSR, so I will use the AutoCSR delivery method (we generate the CSR for you).
    2. Preencha o campo Common Name (CN), com o domínio. (Preenchimento obrigatório)
    3. Os campos O, OU, L, S e C são todos preenchidos automaticamente a partir dos dados cadastrais do usuário.
    4. Nos campos Password e Confirm Password devem ser preenchidos com uma senha que será utilizada como Private Key do CSR. A senha deverá conter no mínimo 8 caracteres com letras e números.
    5. Clique em Continue.



  8. Certificate Signing Request (CSR) / AutoCSR: A principal função desta tela é a conferência dos dados. Os dados apresentados na coluna Parsed CSR / AutoCSR Contents são os dados contidos no CSR, já os dados apresentados na coluna Certificate Contents when issued são os dados que estarão contidos no certificado a ser emitido, se os dados estiverem corretos, clique em Continue, se não, seus dados cadastrais não estão corretos e deverão ser alterados antes da emissão do certificado.
     

    Atenção

    Na área Key Length & AutoCSR (PKCS#12) Password, mais especificamente no campo AutoCSR (PKCS#12) Pasword: temos uma informação muito importante visto que o recurso de Auto CSR faz a concatenação do password informado no passo 7 com um valor aleatório gerado automaticamente pelo sistema (nesse exemplo <password do passo 7> + 7079f1f6) e será utilizada como a Private Key do certificado a ser gerado, sendo assim, NÃO PERCA ESTA INFORMAÇÃO.




     

  9. Your Profile Information: Esta etapa existe somente para conferência dos dados do perfil da organização, se estiver tudo certo clique em  Continue.


    NO CASO DE ALGUMA INCONSISTÊNCIA NAS INFORMAÇÕES APRESENTADAS AQUI, FAVOR ABRIR UM CHAMADO JUNTO AO SERVICE DESK DA RNP SOLICITANDO A CORREÇÃO. DEVEM SER INFORMADOS NO CHAMADO O PARÂMETRO A SER CORRIGIDO, O VALOR ATUAL E O VALOR PARA O QUAL ELE DEVERÁ SER ALTERADO.

  10. Payment Information: Nesta etapa não faremos alteração, visto que ela se refere ao método de pagamento dos certificados e o serviço de AC SSL Corporativa da ICPEdu fornece certificados totalmente gratuitos às suas instituições usuárias. Deixe a opção This application has been made using a Free Coupon marcada e clique em Continue.



  11. Confirm Details: A principal função desta tela é a conferência de TODOS os dados informados até então, se tudo estiver certo é só marcar I agree to the Subscriber Agreement e clicar em Complete para gerar o certificado.

    Atenção

    Após esta tela nenhuma das informações deste certificado poderá sofrer alteração.





  12. Certificate Application Completed: Aqui sua solicitação de emissão de certificado foi finalizada. Esta tela irá disponibilizar um número de chamado e qualquer dúvida ou suporte referente a este certificado pode ser feita com este número.



    APÓS TODO O PROCESSO SER FINALIZADO VOCÊ DEVERÁ RECEBER INSTANTANEAMENTE UM E-MAIL INFORMANDO QUE SUA SOLICITAÇÃO FOI FEITA E QUE O PEDIDO ESTÁ SENDO PROCESSADO.

2.3. Opções extras na geração de certificados.

  1. Products: O produto sempre será OrganizationSSL, pois é este o produto contratado da GlobalSign pela RNP.

     

  2. Enter Promotional Code: A opção de código promocional não precisará ser utilizada nunca, mesmo o emissor possuindo um código promocional, visto que todos os certificados emitidos pelo convênio da RNP com a GlobalSign não tem custo algum para as instituições.

     

  3. SSL Certificate Type

    Existem dois possíveis tipos de certificados a serem emitidos, aqui o emissor tem autonomia para escolher qual deles deseja utilizar.

     

    1. Standard SSL Certificate: Modelo de certificado comum, emitido para proteção de um domínio específico. Ex.: corporativo.rnp.br

       

    2. Wildcard SSL Certificate: Modelo de certificado especial, emitido para proteção de uma quantidade ilimitada de domínios de primeiro nível. Certificados wildcard possuem o formato *.seudomínio.com.br. Por exemplo, o certificado wildcard *.rnp.br pode ser utilizado para proteção de vários domínios diferentes de primeiro nível como "corporativo.rnp.br", "video.rnp.br", "mconf.rnp.br" e etc. ATENÇÃO: Apenas subdomínios de primeiro nível serão protegidos, subdomínios do tipo “segundo.primeiro.rnp.br” não serão.

     

     

  4. Signing Algorithm: O algoritmo utilizado para assinar o certificado é o SHA256 e não temos opção para alterá-lo, sendo assim, esta opção é fixa e apenas para informação.

  5. Validity Period: O período de validade padrão para os certificados é de 2 anos, mas este prazo pode ser alterado para 1, 2 ou 3 anos.



  6. Add Free Unified Communications Support

    Marque as opções desta opção caso queira emitir um certificado com suporte a Unified Communications (UC). As opções para informar os domínios de cada SAN serão solicitadas mais a frente (passo 3) do processo de emissão de certificados.

  7. Add specific Subject Alternative Names (SANs)

     

    Permite que vários domínios e subdomínios sejam adicionados a um único certificado. Utilizado para IPs compartilhados que não estão usando Server Name Indication (SNI).

    SANs podem ser subdomínios de qualquer nível ou domínios independentes (incluindo as SANs de Unified Communications Support - item 6) . Cada certificado permite até 100 SANs. Nos certificados com SANs, todos os domínios e subdomínios protegidos estarão especificados nos detalhes do certificado. Clicando em “Yes” uma nova tela aparecerá com as opções referentes aos tipos de SANs, você deverá escolher a quantidade de cada tipo de domínio a ser incluido no certificado (100 no total e não para cada tipo), mais adiante no processo de emissão de certificados (passo 3) o portal irá solicitar cada domínio, subdomínio, endereço ip ou nome do servidor conforme as figuras abaixo.


    }

  8. Are you switching from a Competitor?: A opção mais comumente usada é "No, Im not switching", no entanto, se você já possui um certificado válido de outra empresa certificadora e pretende migrar para a AC SSL Corporativa, você pode fazer sem perder o tempo de validade que ainda resta no atual certificado, para isso você deve marcar a opção "Yes, I am switching". Quando se está migrando de outra empresa ou renovando um certificado tem-se a opção de utilizar um bônus de mais 30 dias no nosso certificado, para isto basta marcar Yes na opção "30 days bonus".
    Mais a frente no processo de emissão de certificados (Passo 3), o portal tentará fazer a leitura do certificado a ser substituído para coletar alguns dados, caso a leitura automática do certificado não seja possível será necessário colar manualmente o conteúdo do atual certificado no portal.



  9. Are you renewing this Certificate?: Esta opção existe para facilitar a renovação de certificados já emitidos através da AC SSL Corporativa da ICPEdu, para renovar um certificado basta inserir o número da ordem original de emissão do certificado e o conteúdo do mesmo. Caso você esteja renovando um certificado que tenha menos de 90 dias para vencer, os dias restantes para o vencimento serão incluídos na validade do seu novo certificado. A opção de utilizar um bônus de mais 30 dias no certificado também está disponível para renovação, para utilizá-la basta marcar Yes na opção "30 days bonus".


  10. Set Certificate Start & Expiration date?: Esta opção nos permite informar o prazo de validade (data de início e data de fim) do certificado a ser emitido. Nesta primeira tela só marcamos o checkbox, as informações de data de início e fim serão solicitadas apenas no passo 3 do processo de emissão de certificados. Este prazo tem a duração mínima de 6 meses e máxima de 1 ano.

Baixando os certificados emitidos

Cerca de 10 a 20 minutos após você finalizar sua solicitação de emissão de certificado você deve receber um outro e-mail informando que o certificado foi emitido e está pronto para ser utilizado.

Para fazer o download do certificado:

    1. Entrar no portal pela URL: corporativo.icp.edu.br.

    2. Logar com usuário e senha fornecido pela área de serviços da RNP.

    3. Certifique-se que a aba MANAGED SSL esteja selecionada e clique em Search Order History.


    4. Clique em Search.



    5. Encontre o seu certificado na lista que irá surgir e clique em Get Cert.
       

Gerenciamento dos certificados

Uma lista com todos os certificados já emitidos para o seu domínio será exibida, e nela você poderá:

  • Baixar (Get) qualquer certificado,
  • Revogar (Revoke) um certificado válido ou
  • Reemitir (Reissue) os seus certificados expirados.

Instalando os certificados

A instalação dos certificados é simples e feita com apenas alguns arquivos e comandos a mais nos arquivos de configuração do servidor web.

A cadeia de certificação de um certificado emitido pelo serviço de AC SSL Corporativa da ICPEdu fica da seguinte maneira:

Neste caso nosso certificado que foi emitido para o domínio *.rnp.br possui:

    • Os certificados ICPEdu Trusted Root CA SHA256 G2 como certificados intermediários e

O certificado GlobalSign como o certificado raiz da nossa cadeia de certificação.

CertificadoFunção
gs_root.pemGlobalSign Root R3 - Certificado raiz da cadeia de certificação da AC SSL Corporativa da ICPEdu
intermediate.pemTrusted Root CA SHA256 G2 + ICPEdu: Arquivo com dois certificados intermediários concatenados formando um único certificado intermediário da cadeia de certificação da AC SSL Corporativa da ICPEdu

 

4.1. Instalando um certificado gerado com CSR convencional

  1. Faça aqui o download do certificado raiz da GlobalSign (GlobalSign Root R3) e salve-o como gs_root.pem.
     
  2. Faça aqui o download do certificado intermediário (Trusted Root CA SHA256 G2 + ICPEdu) e salve-o como intermediate.pem.

  3. Faça o download do seu certificado emitido através da AC SSL Corporativa da ICPEdu como <seudomínio>.cer(veja como fazer o download do seu certificado na sessão Baixando os certificados emitidos).

  4. Salve todos os 3 arquivos juntamente com sua private key (suachave.key) no diretório que você planeja guardar seus certificados (neste exemplo utilizamos /etc/apache/ssl/icpedu).
     
  5. Abra seu arquivo de configuração do apache em um editor de textos, encontre o virtual host que você deseja configurar e complemente com os comandos abaixo:

    SSLCACertificateFile: Esta diretiva deve apontar para o certificado da AC Raiz da GlobalSign.
    SSLCertificateChainFile: Esta diretiva deve apontar para o certificado concatenado, contendo os certificados Trusted Root CA SHA256 G2 e o certificado da ICPEdu.
    SSLCertificateFile: Esta diretiva deve apontar para o seu certificado pelo portal, através do serviço ICPEdu.
    SSLCertificateKeyFile: Esta diretiva deve apontar para o seu arquivo contendo a chave privada associada ao seu certificado.
     

    Um exemplo de como ficaria a configuração:

    SSLCACertificateFile /etc/apache/ssl/icpedu/gs_root.pem
    SSLCertificateChainFile /etc/apache/ssl/icpedu/intermediate.pem
    SSLCertificateFile /etc/apache/ssl/icpedu/seudominio.crt
    SSLCertificateKeyFile /etc/apache/ssl/icpedu/suachave.key
  6. Reinicie o serviço do apache e faça o teste de acesso: sudo service apache2 restart

Instalando um certificado gerado com AutoCSR

  1. Faça aqui o download do certificado raiz da GlobalSign (GlobalSign Root R3) e salve-o como gs_root.pem.

     

  2. Faça aqui o download do certificado intermediário (Trusted Root CA SHA256 G2 + ICPEdu) e salve-o como intermediate.pem.

     

  3. Faça o download do seu certificado gerado através da AC SSL Corporativa da ICPEdu utilizando o recurso AutoCSR como <seudomínio>.pfx(veja como fazer o download do seu certificado na sessão Baixando os certificados emitidos).

  4. Quando o certificado é gerado utilizando o recurso AutoCSR, é necessário que este seja "desmembrado" de forma que a chave privada e a chave pública sejam extraídas para arquivos diferentes que serão utilizados na configuração do apache. Para desmembrar o arquivo .pfx siga os passos abaixo:
    1. Execute o comando para extrair a chave privada: openssl pkcs12 -in <seudomínio>.pfx -nocerts -nodes -out privatekey.key.
    2. Será solicitada uma senha para acesso ao arquivo, esta senha é a gerada através do AutoCSR que é: senha.que.você.digitou + senha.aletoria.do.sistema.
    3. Execute o comando para remover a encriptação da chave privada: openssl rsa -in privatekey.key -out <suachave>.key.
    4. Execute o comando para extrair o certificado: openssl pkcs12 -in <seudominio>.pfx -clcerts -nokeys -out <seudominio>.crt.

  5. Salve todos os arquivos (gs_root.pem, intermediate.pem, <seudominio>.crt e <suachave>.key) no diretório que você planeja guardar seus certificados (neste exemplo utilizamos /etc/apache/ssl/icpedu).

  6. Abra seu arquivo de configuração do apache em um editor de textos, encontre o virtual host que você deseja configurar e complemente com os comandos abaixo:

    SSLCACertificateFile: Esta diretiva deve apontar para o certificado da AC Raiz da GlobalSign.
    SSLCertificateChainFile: Esta diretiva deve apontar para o certificado concatenado, contendo os certificados Trusted Root CA SHA256 G2 e o certificado da ICPEdu.
    SSLCertificateFile: Esta diretiva deve apontar para o seu certificado pelo portal, através do serviço ICPEdu.
    SSLCertificateKeyFile: Esta diretiva deve apontar para o seu arquivo contendo a chave privada associada ao seu certificado.
     

    Um exemplo de como ficaria a configuração:

    SSLCACertificateFile /etc/apache/ssl/icpedu/gs_root.pem
    SSLCertificateChainFile /etc/apache/ssl/icpedu/intermediate.pem
    SSLCertificateFile /etc/apache/ssl/icpedu/seudominio.crt
    SSLCertificateKeyFile /etc/apache/ssl/icpedu/suachave.key
  7. Reinicie o serviço do apache e faça o teste de acesso: sudo service apache2 restart

Como alterar a senha no primeiro login do site da Globalsign

Atenção

Este é o primeiro procedimento a ser executado assim que a credencial de acesso for liberada.

Dependendo das configurações do seu navegador, o texto do portal estará traduzido para outro idioma.

Siga os passos abaixo para alterar sua senha.

  1. Acesse o portal da Globalsign e efetue o login com a senha padrão recebida no e-mail.
     
     
  2. Dê um clique na aba "Account & Finance".
     
     
  3. Dê um clique no ícone "Manage Users".
     
  4. Dê um clique no botão "Edit".
     
  5. Informe sua nova senha.
     
  6. No final do formulário dê um clique no botão "Confirm".
     
  • No labels