Jump to content
Dr_Lion

Instalar certificado ssl

Recommended Posts

Dr_Lion

Ora bem, vamos á descrição do problema, tenho uma página com ligação segura https, implementada num pc que faz de servidor a correr debian wheezy com o apache2 (instalei o lamp ou nome semelhante).

Ora bem, eu de certificados não pesco muito, quase nada mesmo, consegui-me orientar pela net para gerar certificados self signed e consegui por a funcionar. No entanto tenho sempre a desvantagem de cada vez que um novo user acede á pagina tem o aviso de segurança que se trata de um certificado auto assinado.

Com vista a resolver este problema, pedi a um amigo que tem uma CA, e ele disse-me para arranjar o programa "xca" para gerar um CSR e lho enviar, que ele assinava-mo com a CA. Até aqui tudo certo, gerei o CSR e ele enviou-me em resposta o certificado assinado, um ficheiro "bblabla.pem"

Ora bem, a partir daqui estou um bocado á nora, experimentei importar o ficheiro que ele me enviou para o xca, e depois daí exportar a chave privada e o certificado, mas já tentei colocalos em várias pastas, editar o ficheiro "/etc/apache2/sites-avaiable/default-ssl" e quando faço restart ao apache 2 este dá sempre failed!!!

Que estou a fazer mal, ou como tenho de fazer para funcionar? é que nem as directorias onde coloquei os ficheiros sei se são as corretas.

Desde já agradeço a todos.

Share this post


Link to post
Share on other sites
Dr_Lion

Ok, olhando para esse tuturial até parece fácil, mas tenho dúvidas básicas em alguns pontos.

Com o programa xca, a SSLCertificateKeyFile, obtenho no separador private keys,

mas o SSLCertificateFile, e SSLCertificateChainFile não sei bem a quais correspondem, se bem que só tenho mais 2 separadores que são o "certificate signing request" e o separador "certificate". Agora qual destes 2 corresponde a qual?

A minha dúvida prende-se essencialmente com o chainfile que não sei se o tenho e é um destes, ou se é um ficheiro que me falta :S porque no meu entender eu acho que não tenho o chainfile, é o "certificate signing request" é o certificado.

Outra questão os diretórios para colocar os ficheiros são específicos ou pode ser qualquer directório (desde que o caminho esteja certo no ficheiro default-ssl)?

Estes 3 ficheiros podem estar todos no mesmo directório?

Share this post


Link to post
Share on other sites
HappyHippyHippo

SSLCertificateFile - should be your primary certificate file for your domain name.

SSLCertificateKeyFile - should be the key file generated when you created the CSR.

SSLCertificateChainFile - should be the intermediate certificate file (if any) that was supplied by your certificate authority

os ficheiros podem estar em qualquer lugar que o apache irá os ler quando inicia (desde que o caminho dado seja correcto)

Edited by HappyHippyHippo

IRC : sim, é algo que ainda existe >> #p@p

Share this post


Link to post
Share on other sites
Dr_Lion

Não estou a conseguir fazer restart ao apache2, dá erro. Depois de andar ás voltas isto diz que o tipo de certificado não está de acordo com a norma ou raio.

Ora bem, decidi abrir os ficheiros de certificado com o gedit e os 3 headers que obtenho são:

----BEGIN CERTIFICATE REQUEST------

----BEGIN CERTIFICATE-----

----BEGIN RSA PRIVATE KEY----

ora bem pelo pouco de nada que percebo disto parece-me que o 2º é o certificado e o 3º a chave privada.. hum.. e onde está o chainfile ou lá o que é??? estou a fcar maluco :P ah e já agora o ficheiro que o meu amigo me enviou foi exatamente um ----BEGIN CERTIFICATE-----

Share this post


Link to post
Share on other sites
HappyHippyHippo

quando criaste o teu certificado, criaste dois ficheiros

- um certificado e uma chave

o que o teu colega te enviou foi o terceiro ficheiro ... o que pretendes


IRC : sim, é algo que ainda existe >> #p@p

Share this post


Link to post
Share on other sites
Dr_Lion

Bem já consegui reiniciar o apache, tens razão. eu é que do alto da minha nabice ao ver 2 ficheiros diferentes (o que o meu amigo me enviu, e o meu certificado) mascom o mesmo cabeçalho e "aparentemente (= ver a olho) com o mesmo conteúdo na verdade com o diff têm conteúdos diferentes. E a conlclusão a que chego é que ou se tem muita calma, ou quando já se tem a cabeça a ferver dá tudo errado :S

Eu estava a fazer confusão porque pensava que conseguia gerar os 3 ficheiros, os 2 que preciso, e o que o meu amigo me enviava. E já percebi que não, só consigo criar os outros 2 (a private key e o certificado assinado.

Obrigadão pela ajuda. :)

Edited by Dr_Lion

Share this post


Link to post
Share on other sites
Dr_Lion

Ora bem, parece-me que ainda não ficou tudo resolvido.

Quando entro no site diz-me que a CA que assinou o certificado não é reconhecida. O meu amigo disse que tenho de instalar a CA, a minha dúvida é se devo instalar a CA no programa xca que uso para gerar um dos ficheiros, o se se referia a instalar a CA no firefox.

Porque até agora fiz como fiz com o certificado auto-assinado, ou seja, permitir excepção.

Share this post


Link to post
Share on other sites
Rui Carlos

Ora bem, parece-me que ainda não ficou tudo resolvido.

Quando entro no site diz-me que a CA que assinou o certificado não é reconhecida. O meu amigo disse que tenho de instalar a CA, a minha dúvida é se devo instalar a CA no programa xca que uso para gerar um dos ficheiros, o se se referia a instalar a CA no firefox.

Porque até agora fiz como fiz com o certificado auto-assinado, ou seja, permitir excepção.

Em princípio o problema é que a CA do teu amigo não é reconhecida pelos browsers. Isso quer dizer que para os utilizadores não receberem avisos ao acederem ao teu site, eles (os utilizadores) terão que instalar o certificado root da CA do teu amigo nos seus sistemas (o que não é muito prático).

Já agora, podes obter um certificado reconhecido pela generalidade dos browsers de forma gratuita aqui: http://www.startssl.com/?app=1

Share this post


Link to post
Share on other sites
Dr_Lion

Em princípio o problema é que a CA do teu amigo não é reconhecida pelos browsers. Isso quer dizer que para os utilizadores não receberem avisos ao acederem ao teu site, eles (os utilizadores) terão que instalar o certificado root da CA do teu amigo nos seus sistemas (o que não é muito prático).

Já agora, podes obter um certificado reconhecido pela generalidade dos browsers de forma gratuita aqui: http://www.startssl.com/?app=1

Pois cheira-me que seja isso, nesse caso usar a CA do meu amigo, seria o mesmo que usar um certificado self signed..

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.