Outros Serviços - RNP

Instalando o Certificado

O suporte ao serviço compreende somente a emissão do certificado, a instalação fica a cargo da instituição.

O objetivo dessa página é reforçar a necessidade de instalação do certificado raiz e intermediário

A instalação dos certificados é simples e feita com apenas alguns arquivos e comandos a mais nos arquivos de configuração do servidor web.

A cadeia de certificação de um certificado emitido pelo serviço de AC SSL Corporativa da ICPEdu fica da seguinte maneira:

Neste caso nosso certificado que foi emitido para o domínio *.rnp.br possui:

  • Os certificados ICPEdu como certificado intermediários

  • O certificado GlobalSign Root CA - R3 como o certificado raiz da nossa cadeia de certificação.

Certificado

Função

gs_root.pem

GlobalSign Root R3 - Certificado raiz da cadeia de certificação da AC SSL Corporativa da ICPEdu .

intermediate.pem

ICPEdu - Arquivo certificado intermediário formado pela concatenação dos certificados "rnpicpeduovsslca2019" + "Trusted Root TLS CA SHA256 G3"

Instalando um certificado gerado com CSR convencional

Faça o download do certificado raiz da GlobalSign (GlobalSign Root R3):

Faça o download do certificado intermediário:

Para certificados emitidos a partir do dia 27/11/2020 (ICPEdu)

Para certificados emitidos a partir do dia 07/07/2020 a 26/11/2020 (GlobalSign RSA OV SSL CA 2018)

Faça o download do seu certificado emitido através da AC SSL Corporativa da ICPEdu como <seudomínio>.cer. (veja como fazer o download do seu certificado na sessão Baixando o certificado).

Salve todos os 3 arquivos juntamente com sua private key (suachave.key) no diretório que você planeja guardar seus certificados (neste exemplo utilizamos /etc/apache/ssl/icpedu).

Abra seu arquivo de configuração do apache em um editor de textos, encontre o virtual host que você deseja configurar e complemente com os comandos abaixo:

SSLCACertificateFile: Esta diretiva deve apontar para o certificado da AC Raiz da GlobalSign. SSLCertificateChainFile: Esta diretiva deve apontar para o certificado intermediário ICPEdu. SSLCertificateFile: Esta diretiva deve apontar para o seu certificado pelo portal, através do serviço ICPEdu. SSLCertificateKeyFile: Esta diretiva deve apontar para o seu arquivo contendo a chave privada associada ao seu certificado.

Um exemplo de como ficaria a configuração: 

SSLCACertificateFile /etc/apache/ssl/icpedu/gs_root.pem
SSLCertificateChainFile /etc/apache/ssl/icpedu/intermediate.pem
SSLCertificateFile /etc/apache/ssl/icpedu/seudominio.crt
SSLCertificateKeyFile /etc/apache/ssl/icpedu/suachave.key

Reinicie o serviço do apache e faça o teste de acesso: sudo service apache2 restart .

Atenção:

O SSLCertificateChainFile foi descontinuado com a versão 2.4.8, quando o SSLCertificateFile foi estendido para também carregar certificados CA intermediários do arquivo de certificado do servidor.

Mais informações em https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile

PreviousBaixando o CertificadoNextGerenciamento de Domínios e Perfis

Last updated