# Instalando o Certificado

{% hint style="danger" %}
O suporte ao serviço compreende somente a emissão do certificado, a instalação fica a cargo da instituição.

O objetivo dessa página é reforçar a necessidade de instalação do certificado **raiz** e **intermediário**
{% endhint %}

A instalação dos certificados é simples e feita com apenas alguns arquivos e comandos a mais nos arquivos de configuração do servidor web.

A cadeia de certificação de um certificado emitido pelo serviço de AC SSL Corporativa da ICPEdu fica da seguinte maneira:

![](/files/-MO1q1WG6st6rmtCw9YY)

Neste caso nosso certificado que foi emitido para o domínio \*.rnp.br possui:

* Os certificados **ICPEdu** como **certificado intermediários**
* O certificado **GlobalSign Root CA - R3** como o **certificado raiz** da nossa cadeia de certificação.

| Certificado      | Função                                                                                                                                             |
| ---------------- | -------------------------------------------------------------------------------------------------------------------------------------------------- |
| gs\_root.pem     | **GlobalSign Root R3** - Certificado raiz da cadeia de certificação da AC SSL Corporativa da ICPEdu&#xD;.                                          |
| intermediate.pem | **ICPEdu -** Arquivo certificado intermediário formado pela concatenação dos certificados "rnpicpeduovsslca2019" + "Trusted Root TLS CA SHA256 G3" |

### Instalando um certificado gerado com CSR convencional

Faça o download do certificado raiz da GlobalSign (GlobalSign Root R3):

{% file src="/files/-M8pF6\_OmtWFaQyk5Por" %}
Download
{% endfile %}

Faça o download do certificado intermediário:

**Para certificados emitidos a partir do dia 27/11/2020 (ICPEdu)**

{% file src="/files/-MO1qCsadHlDNVq-TIoT" %}
Download
{% endfile %}

**Para certificados emitidos a partir do dia 07/07/2020 a 26/11/2020 (GlobalSign RSA OV SSL CA 2018)**

{% file src="/files/-MBg04lTX-X8djPzAAYa" %}
Download
{% endfile %}

Faça o download do seu certificado emitido através da AC SSL Corporativa da ICPEdu como \<seudomínio>.cer. (veja como fazer o download do seu certificado na sessão [Baixando o certificado](/icpedu/cc/manual-do-usuario/baixando-o-certificado.md)).

Salve todos os 3 arquivos juntamente com sua private key (suachave.key) no diretório que você planeja guardar seus certificados (neste exemplo utilizamos /etc/apache/ssl/icpedu).

Abra seu arquivo de configuração do apache em um editor de textos, encontre o virtual host que você deseja configurar e complemente com os comandos abaixo:

> &#x20;**SSLCACertificateFile**: Esta diretiva deve apontar para o certificado da AC Raiz da GlobalSign.\
> **SSLCertificateChainFile**: Esta diretiva deve apontar para o certificado intermediário ICPEdu.\
> **SSLCertificateFile**: Esta diretiva deve apontar para o seu certificado pelo portal, através do serviço ICPEdu.\
> **SSLCertificateKeyFile**: Esta diretiva deve apontar para o seu arquivo contendo a chave privada associada ao seu certificado.

Um exemplo de como ficaria a configuração:

```
SSLCACertificateFile /etc/apache/ssl/icpedu/gs_root.pem
SSLCertificateChainFile /etc/apache/ssl/icpedu/intermediate.pem
SSLCertificateFile /etc/apache/ssl/icpedu/seudominio.crt
SSLCertificateKeyFile /etc/apache/ssl/icpedu/suachave.key
```

Reinicie o serviço do apache e faça o teste de acesso: **sudo service apache2 restart**.

**Atenção:**

O **SSLCertificateChainFile** foi descontinuado com a versão 2.4.8, quando o **SSLCertificateFile** foi estendido para também carregar certificados CA intermediários do arquivo de certificado do servidor.

Mais informações em [**https://httpd.apache.org/docs/current/mod/mod\_ssl.html#sslcertificatechainfile**](https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://ajuda.rnp.br/icpedu/cc/manual-do-usuario/instalando-o-certificado.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.