Problema de instalação do certificado SSL no servidor ubuntu

2

Recebi a tarefa de atualizar o certificado para um de nossos clientes em seu servidor. O problema é que, não só nunca fiz isso antes, mas o processo envolvido em todos os sites que li parece não funcionar para mim.

Em primeiro lugar, nunca forneci meu cliente com um arquivo-chave antes de receber o novo certificado, fiquei com a impressão de que ele precisava disso para gerá-lo.

Em segundo lugar, o único outro arquivo de certificado no servidor é um genérico da Verisign, não específico do domínio, como o novo que me foi enviado.

Por último, o que me foi enviado é um arquivo .cer que aparentemente é tão bom quanto um arquivo .crt, mas está me deixando mais desconfiada de que é o certificado errado.

Meu ssl.conf que se refere aos certificados é assim;

SSLCertificateFile /etc/httpd/ssl/ssl.cert.pem
SSLCertificateKeyFile /etc/httpd/ssl/ssl.key
SSLCACertificateFile /etc/httpd/ssl/ca.crt <<< This is the verisign one

Então, basicamente, eu tenho um arquivo .cer, um conf e um servidor e nada disso parece certo para mim. Eu adoraria qualquer ajuda.

Obrigado,

Christian

    
por Christian 24.06.2009 / 01:42

1 resposta

6

Você tem muito aprendizado à sua frente. SSL é uma praga complicada. A primeira pergunta é: o certificado atualmente instalado é válido (emitido por uma CA "real", etc.) para o domínio que eles estão hospedando (datas de expiração do módulo)? Se for, as coisas são um pouco mais fáceis.

Ah, BTW, quem configurou isso anteriormente era obviamente um pouco estranho no RHEL, porque /etc/httpd não é onde o Ubuntu mantém suas coisas. Isso pode te morder na linha.

Para começar, o certificado "Verisign" em /etc/httpd/ssl/ca.crt não é o certificado de usuário final, é o certificado da CA que emitiu o certificado anterior. Isso pode precisar ser alterado se você estiver recebendo um novo certificado de uma autoridade de certificação diferente.

Parece que, se for uma renovação (e o certificado anterior estiver válido), o novo certificado pode ter sido gerado a partir da chave existente. Tudo bem - a chave é privada, afinal de contas, e não precisa mudar a cada ano. Para verificar se estão alinhados, execute:

openssl rsa -noout -in /etc/httpd/ssl/ssl.key -text
openssl x509 -noout -in /new_cert_file.cer -text

E verifique a saída de dados do módulo por cada um desses comandos. Se forem iguais, o novo certificado foi gerado a partir da chave antiga e provavelmente tudo ficará bem. Se forem diferentes, você precisará obter a chave da qual o certificado foi gerado e usá-lo. Se o openssl reclamar que o arquivo cert está em um formato inválido, seu palpite estava certo de que o arquivo não é bom e precisará ser convertido ou reemitido. (Nesse caso, cole o arquivo cert e alguém pode reconhecer o formato e saber como convertê-lo).

Para instalar o novo certificado (e possivelmente a chave), renomeie os arquivos existentes e copie os novos arquivos no lugar. Reinicie o Apache (uma reinicialização completa é mais segura, mas se você apenas alterou o certificado, um recarregamento deverá funcionar). Verifique se o Apache voltou e acessando o site com HTTPS deve relatar a nova data de expiração no certificado. Se houver problemas, é melhor mover os arquivos antigos de volta para o lugar (é por isso que os movemos para fora do caminho) e, em seguida, examinar os erros nos logs para ver o que deu errado e como corrigi-lo. / p>     

por 24.06.2009 / 02:00

Tags