Dúvidas sobre certificado SSL [RESOLVIDO]

1. Dúvidas sobre certificado SSL [RESOLVIDO]

Tiago
tiagopduarte26

(usa FreeBSD)

Enviado em 16/09/2021 - 09:23h

Bom dia,

Tenho um site que utiliza certificado da UOLHOST, o site fica hospedado dentro da empresa que atuo. Ontem este certificado expirou e tivemos uma certa dificuldade na hora de incluirmos o novo.
Sei que existem 2 arquivos: O arquivo .crt e o arquivo .key.
Gostaria de entender sobre estes 2 arquivos. Depois de tanto estudar sobre isso, acho que entendi o seguinte:
1- O arquivo .key é único e só pode ser gerado dentro do meu servidor. Ele nunca sofre alterações e sempre pode ser utilizado para gerar o .crt?
2- Como seria se fosse a 1º vez que a UOLHOST fosse gerar o certificado? Eles entrariam no meu servidor, gerariam uma key e um crt não seguro, depois com a key gerariam o certificado seguro deles para eu importar para o meu webmin?

Desculpem o rolo, eu to bem perdido no assunto e gostaria muito de entender o processo. Ontem passei o dia todo pesquisando e não achei nenhum detalhamento deste assunto.
Consegui resolver o problema, mas quero entender passo a passo disso.

Desde já lhe agradeço.



  


2. MELHOR RESPOSTA

Buckminster
Buckminster

(usa Debian)

Enviado em 16/09/2021 - 22:44h

"Observação: Embora qualquer organização, como um departamento de empresa ou uma agência governamental, possa operar uma CA, CAs comerciais como SSL.com podem fornecer certificados publicamente confiáveis para fins como sites HTTPS, S/MIME e-mail, código e assinatura de documento, sem o incômodo de ter que manter a confiança do público e uma auditoria PKI. SSL.com fornece hospedado PKI com confiança pública ou privada tanto negócio e governo clientes."

https://edrodrigues.com.br/blog/o-que-e-uma-autoridade-de-certificacao-ca-e-o-que-eles-fazem/ <<< este explica bem, mas leia os outros.

https://www.ssl.com/pt/faqs/o-que-%C3%A9-uma-autoridade-de-certifica%C3%A7%C3%A3o/

https://www.ibm.com/docs/pt-br/ibm-http-server/8.5.5?topic=mkfclds-receiving-signed-certificate-from...

https://manuals.gfi.com/pt-br/languard/content/lgcms/topics/configuration/lgcmsaddingcacertificates....


"Eu precisaria gerar uma CSR no meu servidor também para depois gerar esta chave?
Ou só gerando a chave e enviando para a Certificadora ja teria o certificado pronto?"

Precisa gerar a CSR (somente com a chave não rola no caso de enviar para CAs autorizadas).
Abaixo te dará uma boa idéia de como fazer isso com Openssl:
https://www.linux.ime.usp.br/~cef/mac499-06/monografias/erich/html/apc.html

Aqui é em ambiente Windows, mas a sistemática é a mesma:
https://kc.mcafee.com/corporate/index?page=content&id=KB72477&locale=pt_BR&viewlocale=pt...

Basicamente, tu gera uma CSR e envia para a autoridade certificadora.

Autoridades Certificadoras no Brasil:
https://www.gov.br/iti/pt-br/assuntos/icp-brasil/autoridades-certificadoras

Porém, você mesmo pode ser uma CA e gerar teus próprios certificados no Openssl (chama-se certificados autoassinados), mas corre o risco de mesmo tendo um certificado válido dar a mensagem "Certificado inválido, certificado expirado, etc" porque não está cadastrado no governo mesmo tendo um certificado honesto, válido. Por outro lado, usando uma CA autorizada você evita muitos problemas e tem "bala na agulha" para depois, se for o caso, ir para cima da CA que terá que resolver o problema.
Algumas CAs cobram pelo serviço, outras não.

"Se o seu servidor seguro é acessado por um grande público, precisa de um certificado assinado por uma CA, para que as pessoas que visitem seu site saibam que é realmente de propriedade da empresa. Antes de assinar um certificado, uma CA verifica se a empresa requisitando o certificado é realmente quem diz ser.
A maioria dos navegadores web que suportam a SSL tem uma lista de CAs cujos certificados são aceitos automaticamente. Se encontrar um certificado cuja CA autorizadora não se encontra na lista, o navegador pergunta ao usuário se deseja aceitar ou negar a conexão.
Você pode gerar um certificado auto-assinado para seu servidor seguro, mas esteja ciente de que este tipo de certificado não oferece a mesma funcionalidade que um certificado assinado por uma CA. Um certificado auto-assinado não é automaticamnete reconhecido pela maioria dos navegadores web e não oferece nenhuma garantia em relação à identidade da empresa que está provendo o site. Um certificado assinado por uma CA oferece estas duas importantes capacidades para um servidor seguro. Se o seu servidor seguro é usado num ambiente de produção, você provavelmente precisa de um certificado assinado por uma CA."
https://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-secureserver-certs.html


________________________________________________
Always listen the Buck!
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.

3. Re: Dúvidas sobre certificado SSL [RESOLVIDO]

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 16/09/2021 - 14:07h


Dá um strings nos arquivos e veja se não é o mesmo conteúdo mas em outro formato ou quem sabe, apenas mudando a extensão.


4. Re: Dúvidas sobre certificado SSL

Buckminster
Buckminster

(usa Debian)

Enviado em 16/09/2021 - 18:08h

https://uolhost.uol.com.br/certificado-ssl#rmcl

Veja no link a seção:
Dúvidas sobre o Certificado Digital SSL

"5. Posso instalar o Certificado SSL do Uol Host em outro servidor?
Sim! Você pode instalar o certificado SSL do Uol Host, em outro servidor. Assim que o Certificado for gerado, você terá a opção para baixar e instalar em qualquer servidor que tenha suporte para Certificado SSL."

Os arquivos crt e key representam as duas partes de um certificado, sendo o .key a chave privada do certificado e o .crt (ou .csr ou outra extensão) é o certificado assinado ou a solicitação da assinatura do certificado. Aquela mensagem "Esta página não é segura... certificado inválido" ou algo parecido vem daí. Muitas vezes os dados nos arquivos não "batem" e acusa o certificado inválido ou expirado.
O .key e o .crt é apenas uma das maneiras de gerar certificados, outra maneira seria ter ambos dentro de um arquivo .pem ou em um contêiner p12.
Você tem várias maneiras de gerar esses arquivos. Isso depende do programa utilizado (SSL, OpenSSL, etc).

Já ouviu falar daquele negócio do bob e alice em criptografia?

"1- O arquivo .key é único e só pode ser gerado dentro do meu servidor. Ele nunca sofre alterações e sempre pode ser utilizado para gerar o .crt?"
Sim, o arquivo .key é, basicamente, a chave privada.
O .key é um arquivo formatado em PEM que contém apenas a chave privada de um certificado específico e é apenas um nome convencional e não padronizado. Pode ter uma variedade de extensões (.pem, .key, .cer, .cert, etc).
A extensão do arquivo é uma coisa, o formato do arquivo é outra coisa.
Por exemplo, um arquivo WORD pode ter extensões .doc, .docx, .rtf, etc. Um arquivo de imagem tem extensão .png, .jpg, .jpeg, etc.
Depende se você pagou pelo certificado, daí a empresa faz as atualizações. Quem gera o certificado (com os arquivos) é a empresa dona do site. Muitas vezes tem que se gerar um certificado novo com todos seus arquivos de novo.
Caso tu resolva instalar um certificado no teu site, daí tu com o SSL (o Squid com openssl faz isso também) gerará certificados para autorizar acessos criptografados (seguros) no teu site e isso é feito pela verificação das tais chaves privadas e públicas que nada mais são do que dados dentro dos arquivos e esses dados devem bater, inclusive datas.

"2- Como seria se fosse a 1º vez que a UOLHOST fosse gerar o certificado? Eles entrariam no meu servidor, gerariam uma key e um crt não seguro, depois com a key gerariam o certificado seguro deles para eu importar para o meu webmin?"

Sim, eles entram no servidor, com a tua permissão, mas não é necessário. Como dito acima, você pode gerar o certificado e baixar para outro servidor. Porém, para confirmar as chaves eles terão acesso ao servidor, mas somente a esses arquivos, assim como com quaisquer servidores com certificados ocorre uma "troca" de acessos.
O programa ssl utilizado faz isso automaticamente.
Geralmente são gerados todos os arquivos no mesmo momento, depois é feita somente uma confirmação.

A base de tudo é a criptografia utilizada, tem vários métodos de criptografia.
O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário. Quando um SSL – Certificado Digital está instalado no website, um icone de um cadeado aparece no navegador e o endereço começa com https:// ao invés de http:// informando que os dados serão criptografados.
https://www.openssl.org/docs/faq.html
https://help.tableau.com/current/server/pt-br/ssl_cert_create.htm <<< aqui tem uma boa explicação na prática.


________________________________________________
Always listen the Buck!
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.


5. Re: Dúvidas sobre certificado SSL [RESOLVIDO]

Tiago
tiagopduarte26

(usa FreeBSD)

Enviado em 16/09/2021 - 21:34h

Boa noite, acho que compreendi:
Estava lendo deste link: https://help.tableau.com/current/server/pt-br/ssl_cert_create.htm
Pela explicação eu preciso gerar a KEY e enviar para uma autoridade certificadora:
"Use o arquivo de chave criado com o procedimento acima para gerar a Certificate Signing Request (Solicitação de Assinatura de Certificado, CSR). Envie o CSR para uma autoridade de certificação (CA) para obter o certificado assinado."
Isto eu faço no meu servidor certo. Eu precisaria gerar uma CSR no meu servidor também para depois gerar esta chave? Ou só gerando a chave e enviando para a Certificadora ja teria o certificado pronto?

Buckminster escreveu:

https://uolhost.uol.com.br/certificado-ssl#rmcl

Veja no link a seção:
Dúvidas sobre o Certificado Digital SSL

"5. Posso instalar o Certificado SSL do Uol Host em outro servidor?
Sim! Você pode instalar o certificado SSL do Uol Host, em outro servidor. Assim que o Certificado for gerado, você terá a opção para baixar e instalar em qualquer servidor que tenha suporte para Certificado SSL."

Os arquivos crt e key representam as duas partes de um certificado, sendo o .key a chave privada do certificado e o .crt (ou .csr ou outra extensão) é o certificado assinado ou a solicitação da assinatura do certificado. Aquela mensagem "Esta página não é segura... certificado inválido" ou algo parecido vem daí. Muitas vezes os dados nos arquivos não "batem" e acusa o certificado inválido ou expirado.
O .key e o .crt é apenas uma das maneiras de gerar certificados, outra maneira seria ter ambos dentro de um arquivo .pem ou em um contêiner p12.
Você tem várias maneiras de gerar esses arquivos. Isso depende do programa utilizado (SSL, OpenSSL, etc).

Já ouviu falar daquele negócio do bob e alice em criptografia?

"1- O arquivo .key é único e só pode ser gerado dentro do meu servidor. Ele nunca sofre alterações e sempre pode ser utilizado para gerar o .crt?"
Sim, o arquivo .key é, basicamente, a chave privada.
O .key é um arquivo formatado em PEM que contém apenas a chave privada de um certificado específico e é apenas um nome convencional e não padronizado. Pode ter uma variedade de extensões (.pem, .key, .cer, .cert, etc).
A extensão do arquivo é uma coisa, o formato do arquivo é outra coisa.
Por exemplo, um arquivo WORD pode ter extensões .doc, .docx, .rtf, etc. Um arquivo de imagem tem extensão .png, .jpg, .jpeg, etc.
Depende se você pagou pelo certificado, daí a empresa faz as atualizações. Quem gera o certificado (com os arquivos) é a empresa dona do site. Muitas vezes tem que se gerar um certificado novo com todos seus arquivos de novo.
Caso tu resolva instalar um certificado no teu site, daí tu com o SSL (o Squid com openssl faz isso também) gerará certificados para autorizar acessos criptografados (seguros) no teu site e isso é feito pela verificação das tais chaves privadas e públicas que nada mais são do que dados dentro dos arquivos e esses dados devem bater, inclusive datas.

"2- Como seria se fosse a 1º vez que a UOLHOST fosse gerar o certificado? Eles entrariam no meu servidor, gerariam uma key e um crt não seguro, depois com a key gerariam o certificado seguro deles para eu importar para o meu webmin?"

Sim, eles entram no servidor, com a tua permissão, mas não é necessário. Como dito acima, você pode gerar o certificado e baixar para outro servidor. Porém, para confirmar as chaves eles terão acesso ao servidor, mas somente a esses arquivos, assim como com quaisquer servidores com certificados ocorre uma "troca" de acessos.
O programa ssl utilizado faz isso automaticamente.
Geralmente são gerados todos os arquivos no mesmo momento, depois é feita somente uma confirmação.

A base de tudo é a criptografia utilizada, tem vários métodos de criptografia.
O SSL (Secure Sockets Layer) usa um sistema de criptografia que utiliza duas chaves para criptografar os dados, uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário. Quando um SSL – Certificado Digital está instalado no website, um icone de um cadeado aparece no navegador e o endereço começa com https:// ao invés de http:// informando que os dados serão criptografados.
https://www.openssl.org/docs/faq.html
https://help.tableau.com/current/server/pt-br/ssl_cert_create.htm <<< aqui tem uma boa explicação na prática.


________________________________________________
Always listen the Buck!
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.





6. Re: Dúvidas sobre certificado SSL [RESOLVIDO]

Tiago
tiagopduarte26

(usa FreeBSD)

Enviado em 17/09/2021 - 07:15h

Amigo, ficou bem claro \o
Agradeço mesmo pela respota. Vou ver se monto um ambiente de testes para gerar meus certificados.
Muito obrigado mesmo \o

Buckminster escreveu:

"Observação: Embora qualquer organização, como um departamento de empresa ou uma agência governamental, possa operar uma CA, CAs comerciais como SSL.com podem fornecer certificados publicamente confiáveis para fins como sites HTTPS, S/MIME e-mail, código e assinatura de documento, sem o incômodo de ter que manter a confiança do público e uma auditoria PKI. SSL.com fornece hospedado PKI com confiança pública ou privada tanto negócio e governo clientes."

https://edrodrigues.com.br/blog/o-que-e-uma-autoridade-de-certificacao-ca-e-o-que-eles-fazem/ <<< este explica bem, mas leia os outros.

https://www.ssl.com/pt/faqs/o-que-%C3%A9-uma-autoridade-de-certifica%C3%A7%C3%A3o/

https://www.ibm.com/docs/pt-br/ibm-http-server/8.5.5?topic=mkfclds-receiving-signed-certificate-from...

https://manuals.gfi.com/pt-br/languard/content/lgcms/topics/configuration/lgcmsaddingcacertificates....


"Eu precisaria gerar uma CSR no meu servidor também para depois gerar esta chave?
Ou só gerando a chave e enviando para a Certificadora ja teria o certificado pronto?"

Precisa gerar a CSR (somente com a chave não rola no caso de enviar para CAs autorizadas).
Abaixo te dará uma boa idéia de como fazer isso com Openssl:
https://www.linux.ime.usp.br/~cef/mac499-06/monografias/erich/html/apc.html

Aqui é em ambiente Windows, mas a sistemática é a mesma:
https://kc.mcafee.com/corporate/index?page=content&id=KB72477&locale=pt_BR&viewlocale=pt...

Basicamente, tu gera uma CSR e envia para a autoridade certificadora.

Autoridades Certificadoras no Brasil:
https://www.gov.br/iti/pt-br/assuntos/icp-brasil/autoridades-certificadoras

Porém, você mesmo pode ser uma CA e gerar teus próprios certificados no Openssl (chama-se certificados autoassinados), mas corre o risco de mesmo tendo um certificado válido dar a mensagem "Certificado inválido, certificado expirado, etc" porque não está cadastrado no governo mesmo tendo um certificado honesto, válido. Por outro lado, usando uma CA autorizada você evita muitos problemas e tem "bala na agulha" para depois, se for o caso, ir para cima da CA que terá que resolver o problema.
Algumas CAs cobram pelo serviço, outras não.

"Se o seu servidor seguro é acessado por um grande público, precisa de um certificado assinado por uma CA, para que as pessoas que visitem seu site saibam que é realmente de propriedade da empresa. Antes de assinar um certificado, uma CA verifica se a empresa requisitando o certificado é realmente quem diz ser.
A maioria dos navegadores web que suportam a SSL tem uma lista de CAs cujos certificados são aceitos automaticamente. Se encontrar um certificado cuja CA autorizadora não se encontra na lista, o navegador pergunta ao usuário se deseja aceitar ou negar a conexão.
Você pode gerar um certificado auto-assinado para seu servidor seguro, mas esteja ciente de que este tipo de certificado não oferece a mesma funcionalidade que um certificado assinado por uma CA. Um certificado auto-assinado não é automaticamnete reconhecido pela maioria dos navegadores web e não oferece nenhuma garantia em relação à identidade da empresa que está provendo o site. Um certificado assinado por uma CA oferece estas duas importantes capacidades para um servidor seguro. Se o seu servidor seguro é usado num ambiente de produção, você provavelmente precisa de um certificado assinado por uma CA."
https://web.mit.edu/rhel-doc/3/rhel-sag-pt_br-3/s1-secureserver-certs.html


________________________________________________
Always listen the Buck!
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.





7. Re: Dúvidas sobre certificado SSL [RESOLVIDO]

Buckminster
Buckminster

(usa Debian)

Enviado em 17/09/2021 - 10:24h

De nada.

________________________________________________
Always listen the Buck!
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts