Adicionar Instalação de Certificado HTTPS em Servidores
parent
74a5a0bd32
commit
12393d026f
|
|
@ -0,0 +1,140 @@
|
|||
# Instalação de Certificado HTTPS em Servidores
|
||||
|
||||
Este procedimento descreve como instalar certificados digitais emitidos pela Autoridade Certificadora do laboratório em servidores HTTPS.
|
||||
|
||||
A instalação pode ser realizada por meio de interface gráfica (GUI) ou configuração manual em serviços web.
|
||||
|
||||
---
|
||||
|
||||
## Objetivo
|
||||
|
||||
Ativar comunicação segura HTTPS em servidores internos utilizando certificados assinados pela Autoridade Certificadora local.
|
||||
|
||||
---
|
||||
|
||||
## Pré-requisitos
|
||||
|
||||
* Certificado do servidor exportado no formato `.crt`
|
||||
* Chave privada correspondente exportada no formato `.pem` ou `.key`
|
||||
* Certificado da Autoridade Certificadora disponível
|
||||
* Serviço HTTPS configurável no servidor
|
||||
|
||||
---
|
||||
|
||||
## Estrutura recomendada de arquivos
|
||||
|
||||
Sugere-se organizar os arquivos no servidor conforme:
|
||||
|
||||
```text
|
||||
/etc/ssl/local/
|
||||
|
||||
server.crt
|
||||
server.key
|
||||
fullchain.pem
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Criação do arquivo Full Chain
|
||||
|
||||
Alguns serviços HTTPS exigem o envio da cadeia completa de certificação.
|
||||
|
||||
Para criar o arquivo fullchain:
|
||||
|
||||
```text
|
||||
cat server.crt ca-root.crt > fullchain.pem
|
||||
```
|
||||
|
||||
Este arquivo conterá:
|
||||
|
||||
* certificado do servidor
|
||||
* certificado da Autoridade Certificadora
|
||||
|
||||
---
|
||||
|
||||
## Instalação via Interface Gráfica (GUI)
|
||||
|
||||
Em servidores com painel administrativo:
|
||||
|
||||
1. Importar o certificado do servidor
|
||||
2. Importar a chave privada correspondente
|
||||
3. Selecionar o certificado na configuração do serviço HTTPS
|
||||
4. Aplicar ou salvar a configuração
|
||||
|
||||
O sistema poderá:
|
||||
|
||||
* validar o vínculo entre chave e certificado
|
||||
* configurar automaticamente a cadeia de certificação
|
||||
* reiniciar o serviço web
|
||||
|
||||
---
|
||||
|
||||
### Exemplo: OpenMediaVault
|
||||
|
||||
No OpenMediaVault:
|
||||
|
||||
* importar certificado e chave na seção de certificados
|
||||
* selecionar o certificado na configuração HTTPS
|
||||
* aplicar alterações
|
||||
|
||||
O sistema realizará internamente a ativação do certificado no servidor web.
|
||||
|
||||
---
|
||||
|
||||
## Instalação manual em Nginx
|
||||
|
||||
Editar o arquivo de configuração do servidor.
|
||||
|
||||
Exemplo:
|
||||
|
||||
```nginx
|
||||
server {
|
||||
|
||||
listen 443 ssl;
|
||||
|
||||
server_name nas.localmws;
|
||||
|
||||
ssl_certificate /etc/ssl/local/fullchain.pem;
|
||||
ssl_certificate_key /etc/ssl/local/server.key;
|
||||
|
||||
}
|
||||
```
|
||||
|
||||
Reiniciar o serviço:
|
||||
|
||||
```text
|
||||
systemctl restart nginx
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Validação
|
||||
|
||||
Após a instalação:
|
||||
|
||||
* acessar o servidor via navegador
|
||||
* verificar o cadeado de conexão segura
|
||||
* confirmar que o certificado foi emitido pela CA do laboratório
|
||||
|
||||
---
|
||||
|
||||
## Troubleshooting
|
||||
|
||||
Problemas comuns incluem:
|
||||
|
||||
* SAN não compatível com o hostname acessado
|
||||
* serviço HTTPS não reiniciado
|
||||
* cadeia de certificação incompleta
|
||||
* chave privada não correspondente ao certificado
|
||||
* certificado autoassinado por engano
|
||||
|
||||
---
|
||||
|
||||
## Boas práticas
|
||||
|
||||
* cada servidor deve possuir sua própria chave privada
|
||||
* nunca reutilizar a chave da Autoridade Certificadora
|
||||
* proteger permissões do arquivo de chave privada
|
||||
* documentar certificados instalados no ambiente
|
||||
|
||||
Este procedimento deve ser repetido sempre que um novo servidor HTTPS for implantado no laboratório.
|
||||
Loading…
Reference in New Issue