Aprenda a adicionar e a editar certificados SSL personalizados e também como remover as senhas de arquivos de chave privada.
Visão geral
Os certificados Custom SSL oferecem muitas vantagens:
- Não são compartilhados por diversos domínios de clientes.
- Os clientes podem fornecer certificados SSL de origem válidos já existentes a partir da rede da Cloudflare.
Os domínios dos planos Business e Enterprise têm permissão para utilizar certificados SSL personalizados assim que os domínios são ativados na Cloudflare. O plano Business permite apenas um certificado SSL personalizado por domínio. Por padrão, o plano Enterprise permite apenas um certificado SSL personalizado por domínio, mas os clientes do plano Enterprise podem solicitar certificados SSL personalizados adicionais à equipe da sua conta na Cloudflare.
A Cloudflare permite que seus clientes carreguem diversos tipos de certificado SSL:
- Certificados de Comunicações Unificadas (UCC)
- Validação Estendida (EV)
- Validado por Organização (OV)
Antes de carregar um certificado SSL personalizado na Cloudflare, certifique-se de que o arquivo de chave privada não seja protegido por senha.
Pré-requisitos
Dois pré-requisitos são necessários para carregar seu certificado Custom SSL na Cloudflare:
- Remover a senha do arquivo da chave privada
- Converter a chave privada e o certificado para o formato PEM
Remover a senha do arquivo da chave privada
Se um arquivo de chave carregado for protegido por senha, o aplicativo SSL/TLS da Cloudflare gerará o seguinte erro:
Essa chave é protegida por senha. Remova a senha e, em seguida, reenvie o arquivo.
A solução para remover a senha de um arquivo de chave depende do sistema operacional utilizado. Por exemplo, se o arquivo meudominio.com.key for um arquivo de chave privada, a proteção por senha pode ser removida por meio de um dos seguintes métodos:
1. Abra um terminal de comando.
2. Navegue até o diretório que contém o arquivo meudominio.com.key.
3. Copie a chave original:
cp meudominio.com.key temp.key
4. Execute o seguinte comando:
openssl rsa -in temp.key -out meudominio.com.key
5. Quando solicitado na janela do terminal, digite a senha original da chave.
6. Carregue o conteúdo do arquivo meudominio.com.key na Cloudflare.
1. Navegue até http://indy.fulgan.com/SSL/.
2. Baixe a versão mais recente do OpenSSL para o seu sistema operacional x86 ou x86_64.
3. Abra o arquivo .zip e o descompacte.
4. Clique em openssl.exe.
5. Na janela de comando que aparece, execute o seguinte:
rsa -in C:\Path\To\meudominio.com.key -out key.pem
6. Digite a senha original da chave quando solicitado na janela de comando do openssl.exe.
7. Carregue na Cloudflare o conteúdo do arquivo key.pem, não do arquivo meudominio.com.key.
Converter a chave privada e o certificado para o formato PEM
Certifique-se de que a chave privada e o certificado foram convertidos para um formato PEM padrão, como o PFX. A Cloudflare aceita os seguintes formatos:
- As chaves e certificados com codificação PEM devem estar contidos em um arquivo de texto simples, geralmente terminado com a extensão de arquivo .pem, que contém o certificado e/ou a chave privada não criptografados.
- Os arquivos PKCS #7 geralmente são terminados com uma extensão de arquivo p7b ou p7c e são codificados no formato "signedData" (os formatos data, envelopedData, signedAndEnvelopedData, digestedData e encryptedData não são suportados).
- Os arquivos PKCS #12 geralmente são terminados com .pfx ou .p12e são criptografados com uma senha em branco.
Consulte a documentação sobre Como converter usando OpenSSL para obter exemplos de conversão. Ignorar esse pré-requisito causará um erro ao carregar o certificado SSL: A chave não pode ser analisada.
Como carregar um certificado SSL personalizado
Para carregar um certificado SSL personalizado, execute as seguintes etapas:
1. Faça o login no painel da Cloudflare.
2. Clique na conta apropriada da Cloudflare e selecione o domínio adequado.
3. Clique no aplicativo SSL/TLS.
4. Clique em Carregar o certificado SSL personalizado na seção Certificados na Borda. A janela para Carregar o certificado Custom SSL e a chave é exibida.
5. Abra o arquivo do certificado SSL.
6. Copie e cole o conteúdo do arquivo do certificado SSL na área de texto do certificado SSL.
7. Selecione o Método de Agrupamento adequado (veja as instruções abaixo).
8. Abra o arquivo de chave privada do certificado SSL.
9. Copie e cole o conteúdo do arquivo de chave privada na área de texto da Chave privada.
10. Selecione o Geo Key Manager (veja as instruções abaixo).
As instruções para atualizar um certificado SSL personalizado são muito semelhantes ao processo de carregamento original do certificado.
Como selecionar o Método de Agrupamento
O Método de Agrupamento determina como o certificado SSL é agrupado com os certificados intermediários para preencher a cadeia de certificados. O Método de Agrupamento permite que os clientes selecionem a cadeia de certificados SSL de sua preferência:
- Compatível permite a maior compatibilidade possível com os clientes e navegadores mais antigos.
- Moderno otimiza a cadeia de certificados para obter maior eficiência utilizando certificados intermediários mais novos e em menor número, que negligenciam alguns navegadores mais antigos.
- Definido pelo usuário permite que os clientes forneçam sua própria cadeia de certificados.
Como selecionar as restrições de chave privada do Geo Key Manager
O Geo Key Manager estabelece um limite de quais data centers da Cloudflare podem armazenar a chave privada SSL. A distância geográfica entre a região do data center que mantém as chaves privadas e a localização da solicitação de HTTPS de um visitante podem causar alguma latência nas solicitações iniciais. Confira a postagem do blog da Cloudflare que apresenta o Geo Key Manager para saber mais.
Habilitar o suporte do cliente legado
O Suporte do Cliente Legado alterna o suporte de Indicação de Nome de Servidor (SNI). As opções são:
- Moderno: somente SNI
- Legado: suporta não SNI
Moderno é o comportamento padrão, recomendado pela Cloudflare. Use Legado quando um cliente específico necessitar de suporte não SNI. Atualmente, a API da Cloudflare trata todos os certificados SSL personalizados como Legado.
Como atualizar um certificado SSL personalizado
Cada certificado SSL tem uma data de vencimento. Os certificados SSL personalizados não são renovados automaticamente pela Cloudflare. Portanto, você precisa monitorar as datas de expiração dos seus certificados SSL personalizados e adquirir certificados SSL atualizados junto ao fornecedor do certificado.
Para atualizar um certificado SSL personalizado carregado anteriormente, siga as etapas abaixo:
1. Faça o login no painel da Cloudflare.
2. Clique na conta Cloudflare adequada ao domínio e selecione o domínio adequado.
3. Clique no aplicativo SSL/TLS.
4. Na guia Certificados de borda, clique em Gerenciar para o certificado SSL personalizado cujo Tipo consta como Carregado.
5. Clique no ícone de chave inglesa e aparecerá uma janela solicitando que você Substitua o certificado SSL e a chave.
6. Siga as instruções originais a partir da Etapa 5 na seção Carregar um certificado SSL personalizado deste guia.