No item 2.1.4 da documentação utiliza um CSR (Requisição de Assinatura de Certificado). Caso não possua uma CSR utilize a opção “Não tenho uma CSR \[…\]” e uma será criada pelo sistema automaticamente.
#### 2.1. Baixando o certificado gerado O procedimento para baixar os certificados é mostrado no link a seguir, provido pela documentação própria do ICPEdu/RNP. **Observe que são necessários os passos do item 3, apenas.** **[Manuais e instruções de uso da Certificado Corporativa \[Baixando os certificados emitidos\]](https://wiki.rnp.br/pages/viewpage.action?pageId=86102856#CertificadoCorporativa-Instru%C3%A7%C3%B5esdeuso-3.Baixandooscertificadosemitidos)**O nome do arquivo gerado no passo 2.1 é composto por 4 letras maiúsculas e 12 números e com a extensão “.pfx”. O seguinte exemplo será utilizado neste documento: **CEPO171124239914.pfx**
## 3. Configurando os arquivos Em um computador com Linux instalado, siga os passos a seguir: 1. Certifique-se que o pacote “openssl” esteja instalado.Os passos a seguir não funcionarão caso o pacote “openssl” não esteja instalado.
2. Copie o arquivo “.pfx” que foi o certificado gerado no item 2 (“Emissão do certificado”) para o diretório de sua preferência. Recomendamos o diretório "/tmp" e vamos utilizá-lo neste documento. ```shell [usuario@linux ~]$ cp CEPO171124239914.pfx /tmp [usuario@linux ~]$ cd /tmp ```Nos passos 3.3 e 3.4, no momento da extração será solicitada a senha gerada no item 2 (“Emissão do certificado”
3. Dentro do diretório de sua preferência, extraia o certificado do arquivo “.pfx” : ```shell [usuario@linux /tmp]$ openssl pkcs12 -in CEPO171124239914.pfx -clcerts -nokeys -out CEPO171124239914.crt ``` 4. Dentro do diretório de sua preferência, extraia a Chave privada ```shell [usuario@linux /tmp]$ openssl pkcs12 -in CEPO171124239914.pfx -nocerts -nodes -out CEPO171124239914.key ``` 5. Dentro do diretório de sua preferência, faça download da cadeia de certificados raiz do arquivo “.pfx” : ```shell [usuario@linux /tmp]$ ROOT_CA_URL='https://wiki.rnp.br/download/attachments/86102856/gs_root.pem?version=1&modificationDate=1412194560000&api=v2' [usuario@linux /tmp]$ INT_CA_URL='https://wiki.rnp.br/download/attachments/86102856/intermediate.pem?version=2&modificationDate=1427380622000&api=v2' [usuario@linux /tmp]$ wget --no-check-certificate -c "$ROOT_CA_URL" -O /tmp/globalsign-ca.crt [usuario@linux /tmp]$ wget --no-check-certificate -c "$INT_CA_URL" -O /tmp/icpedu-chain.crt ``` 6. Gere o certificado que inclui a cadeia de certificados raiz e do certificado gerado no item 3.3: ```shell [usuario@linux /tmp]$ cat CEPO171124239914.crt icpedu-chain.crt > CEPO171124239914-chain.crt ``` 7. Gere o arquivo que contém os parâmetros Diffie-Hellman: ```shell [usuario@linux /tmp]$ openssl dhparam -out dh-4096.pem 4096 ``` Neste ponto devemos ter os seguintes arquivos disponíveis: - ***dh-4096.pem*** Arquivo contém os parâmetros Diffie-Hellman usado para fortalecer o canal criptografado e dificultar ataques que interceptam o tráfego criptografado. - ***icpedu-chain.crt*** Arquivo contém a cadeia de autoridades de certificação que inclui a CA do ICPEdu e as da Globalsign, usado para permitir que o cliente confira a validade dos certificados. - ***globalsign-ca.crt*** Arquivo contém o certificado da CA raiz da Globalsign, usado para permitir que o cliente confira a validade dos certificados. - ***CEPO171124239914-chain.crt*** Arquivo inclui a cadeia de certificados que inclui o do ICPEdu, os da Globalsign, e o certificado gerado para o dispositivo final ou aplicação. É ele que será apresentado aos navegadores dos usuários. - ***CEPO171124239914.key*** Arquivo inclui a chave privada do certificado gerado para o dispositivo final ou aplicação. Ele será usada para compor o fluxo criptografado, juntamente com o certificado, aos navegadores dos usuários.Nesse momento distribua os arquivos ao usuário e solicite que eles acessem a página "**Instalar certificados do ICPEdu**"
# Instalar certificados do ICPEdu ## 1. Introdução A Infraestrutura de Chaves Públicas para Ensino e Pesquisa (AC ICPEdu) é o serviço de certificação digital oferecido pela RNP, que provê infraestrutura pronta para a emissão de certificados digitais e chaves de segurança. A modalidade adotada pelo IFPE é a “Certificado Corporativo”, onde as instituições clientes emitem gratuitamente certificados digitais qualificados pela GlobalSign, uma das maiores autoridades certificadoras do mundo. Isso fortalece a confiança dos usuários, que têm a garantia de estar fazendo negócios com uma instituição idônea. Este documento visa a orientar a configuração do certificado emitido através do Sistema de Chamados do IFPE nos servidores web Apache e NGinx. Observe que todos os passos são obrigatórios. ## 2. Utilizando os arquivos Neste ponto devemos ter os seguintes arquivos disponíveis: - ***dh-4096.pem*** Arquivo contém os parâmetros Diffie-Hellman usado para fortalecer o canal criptografado e dificultar ataques que interceptam o tráfego criptografado. - ***icpedu-chain.crt*** Arquivo contém a cadeia de autoridades de certificação que inclui a CA do ICPEdu e as da Globalsign, usado para permitir que o cliente confira a validade dos certificados. - ***globalsign-ca.crt*** Arquivo contém o certificado da CA raiz da Globalsign, usado para permitir que o cliente confira a validade dos certificados. - ***CEPO171124239914-chain.crt*** Arquivo inclui a cadeia de certificados que inclui o do ICPEdu, os da Globalsign, e o certificado gerado para o dispositivo final ou aplicação. É ele que será apresentado aos navegadores dos usuários. - ***CEPO171124239914.key*** Arquivo inclui a chave privada do certificado gerado para o dispositivo final ou aplicação. Ele será usada para compor o fluxo criptografado, juntamente com o certificado, aos navegadores dos usuários. A seguir estão instruções de como utilizar os arquivos gerados nos servidores HTTP Apache e NGinx, instalados nos sistemas operacionais Linux Debian (os comandos são também válidos para Ubuntu) e Centos. #### 2.1. O diretório dos arquivos Para seguir os passos definidos neste documento, copie os arquivos para o diretório “***/etc/ssl/private/***”. ```shell [usuario@linux /tmp]$ sudo mkdir -p /etc/ssl/private [usuario@linux /tmp]$ sudo cp *.crt *.key *.pem *.pfx /etc/ssl/private ```Os passos a seguir não funcionarão se os arquivos não estiverem no diretório “/etc/ssl/private/”.
#### 2.2. Configuração com ApachePor padrão, os arquivos de configuração dos sites do Apache **no Debian e Ubuntu ficam localizados em “*****/etc/apache2/sites-available/*"** *.* Caso esteja instalado **no Centos, ficam em** **“*/etc/httpd/conf.d*”**
No arquivo de cada host, dentro da sessão “*<VirtualHost>*” onde o SSL esteja habilitado inclua as definições de modo que se pareça com o que é mostrado a seguir:Para identificar qual VirtualHost possui SSL habilitado, observe se uma linha com o conteúdo "***SSLEngine On***" existe
***Caso a versão do apache seja inferior a 2.3.6* ```shellPara que as alterações entrem em vigor é necessário reiniciar o serviço
#### 2.3. Configuração com NGinxUtilize o comando **nginx -v** para saber a versão do nginx atualmente instalada. **Para este documento, é necessário que versão seja igual ou superior a 1.3.7.**
Por padrão, os arquivos de configuração dos sites do **NGinx no Debian e Ubuntu ficam localizados em “*/etc/nginx/sites-available/*"** *.* Caso esteja instalado **no Centos, ficam em “*/etc/nginx/conf.d*”**
No arquivo de cada host, na sessão “*server*” onde o SSL esteja habilitado inclua as definições (da linha 4 até a 13) de modo que se pareça com o que é mostrado a seguir:Para identificar qual VirtualHost possui SSL habilitado, observe se uma linha com o conteúdo "***listen 443 ssl***" existe
```shell server { listen 443 ssl; ... # OCSP Stappling ssl_stapling on; ssl_stapling_verify on; resolver 208.67.220.220 208.67.222.222 valid=600s; # Certificados ssl_dhparam /etc/ssl/private/dh-4096.pem; ssl_certificate /etc/ssl/private/CEPO171124239914-chain.crt; ssl_certificate_key /etc/ssl/private/CEPO171124239914.key; ssl_trusted_certificate /etc/ssl/private/icpedu-chain.crt; ... } ``` Após realizar a configuração mostrada é preciso aplicar as alterações. Procure por erros de configuração: `[usuario@linux ~]$ sudo nginx -t` Se tudo correu bem, reinicie o serviço (no Debian/Ubuntu e Centos): `[usuario@linux ~]$ sudo nginx -s reload`Para que as alterações entrem em vigor é necessário reiniciar o serviço
#### 2.4 Outros sistemas Caso haja a necessidade de instalar o certificado em outros oftwares (como MS IIS, MS Exchange e CPanel), acesse a documentação de instalação disponibilizada pela Globalsign [clicando neste link.](https://support.globalsign.com/#category_SSL_Installation)