Geração de CSR para enviar à CA + instalação do certificado SSL no ubuntu server

leokulik
(usa Debian)

Enviado em 04/10/2024 - 10:18h

Bom dia, pessoal.
Eu gostaria de ajuda para resolver um problema na empresa, para tentar salvar bgt de consultoria profissional.

O certificado SSL do nosso GLPI, hospedado num ubuntu server, expirou e precisamos renovar.

Pra isso, já realizei a compra do SSL-DV na Certisign. Agora preciso enviar o CSR para eles vincularem no certificado e depois realizarmos a instalação.
POderiam por favor me apoiar em como gerar o request do CSR no ubuntu server? Estou acostumado com ambiente microsoft, nunca o fiz no linux.

Depois da emissão do certificado, eu gostaria de um apoio para saber como instalar e aplicar.

danniel-lara
(usa Fedora)

Enviado em 04/10/2024 - 10:24h

bom dia
É comum armazenar esses arquivos em /etc/ssl/private ou /etc/ssl/certs, mas você pode escolher outro local se preferir.

cd /etc/ssl/private

 

Execute o seguinte comando para gerar uma chave privada de 2048 bits:

sudo openssl genrsa -out seu_dominio.key 2048

 

Com a chave privada criada, gere o CSR com o seguinte comando:

sudo openssl req -new -key seu_dominio.key -out seu_dominio.csr

 

Você pode copiar o conteúdo para enviar à Certisign.

sudo cat seu_dominio.csr



 

amarildosertorio
(usa Fedora)

Enviado em 04/10/2024 - 10:28h

https://suporte.certisign.com.br/duvidas-suporte/certificado-servidor/gerar-csr

amarildosertorio
(usa Fedora)

Enviado em 04/10/2024 - 12:03h

Uma observação: a requisição pode ser gerada no sistema com o qual você estiver mais familiarizado. Não há problema em você gerá-la no Windows.

leokulik
(usa Debian)

Enviado em 04/10/2024 - 13:40h

Valeu, cara! Consegui usando um comando um pouco diferente:
sudo openssl req -new -newkey rsa:2048 -nodes -keyout /etc/ssl/private/qualquernome.key -out /etc/ssl/certs/qualquernome.csr

Já gerou o CSR, já enviei p/ Certisign, devo receber o link da DigiCert para baixar o arquivo crt já já.
Aí apróxima dúvida fica:
Como instalar esse certificado no servidor, para reconhecer nosso domínio como seguro novamente?

O certificado antigo, está aqui:
# Configuração SSL
SSLEngine on
SSLCertificateFile /etc/ssl/certs/certs/arquivocert.crt
SSLCertificateKeyFile /etc/ssl/private/arquivocert.key
# Descomente a linha abaixo se você tiver um certificado de autoridade de certificação (CA)
SSLCertificateChainFile /etc/ssl/certs/certs/arquivocert/DigiCertCA.crt



Obrigado,

leokulik
(usa Debian)

Enviado em 04/10/2024 - 13:41h

Aff, se eu tivesse lido antes, mas já conseguimos pelo linux mesmo. A dúvida agora é em como importar o arquivo novo para o linux e ativar/instalar.

amarildosertorio
(usa Fedora)

Enviado em 04/10/2024 - 13:44h

Você receberá um arquivo assinado. Se for um arquivo .cer, basta convertê-lo e copiar os arquivos .key e .crt para o servidor. Lembre-se de alterar os nomes no VirtualHost, caso faça modificações.

leokulik
(usa Debian)

Enviado em 11/10/2024 - 10:06h

Você consegue me ajudar a fazer isso?

Estou com o .cer no meu windows, posso transferir ele para o ubuntu server e depois, não sei como convertê-los, tampouco como copiar para os diretórios?

amarildosertorio
(usa Fedora)

Enviado em 11/10/2024 - 10:24h

Coverter .cer em .crt

openssl x509 -inform der -in arquivocert.cer -out arquivocert.crt 

Você mencionou os diretórios:
SSLCertificateFile /etc/ssl/certs/certs/arquivocert.crt
SSLCertificateKeyFile /etc/ssl/private/arquivocert.key

amarildosertorio
(usa Fedora)

Enviado em 11/10/2024 - 10:32h

Realize um backup dos arquivos atuais e, em seguida, copie o novo arquivo .key para o diretório /etc/ssl/private/ e o novo arquivo .crt para o diretório /etc/ssl/certs/.

Se os nomes dos arquivos forem os mesmos, basta recarregar o Apache com um reload.

Observação: O arquivo .key foi gerado no momento em que você executou o comando para criar a requisição.

leokulik
(usa Debian)

Enviado em 11/10/2024 - 10:43h

server@server:~/certs$ openssl x509 -inform der -in cert.cer -out cert.crt
Could not read certificate from cert.cer
Unable to load certificate
server@server:~/certs$

amarildosertorio
(usa Fedora)

Enviado em 11/10/2024 - 10:48h

Valida o formato:
$ file cert.cer