Como gerenciar os certificados SSL personalizados

Suporte da Cloudflare
()
Seguir

Aprenda a adicionar e a editar certificados SSL personalizados e também como remover as senhas de arquivos de chave privada.

Visão geral

Os certificados Custom SSL oferecem muitas vantagens:

  • Não são compartilhados por diversos domínios de clientes.
  • Os clientes podem fornecer certificados SSL de origem válidos já existentes a partir da rede da Cloudflare.

Os domínios dos planos Business e Enterprise têm permissão para utilizar certificados SSL personalizados assim que os domínios são ativados na Cloudflare. O plano Business permite apenas um certificado SSL personalizado por domínio.  Por padrão, o plano Enterprise permite apenas um certificado SSL personalizado por domínio, mas os clientes do plano Enterprise podem solicitar certificados SSL personalizados adicionais à equipe da sua conta na Cloudflare.

A Cloudflare permite que seus clientes carreguem diversos tipos de certificado SSL:

  • Certificados de Comunicações Unificadas (UCC)
  • Validação Estendida (EV)
  • Validado por Organização (OV)
A Cloudflare não permite o carregamento de certificados SSL autoassinados ou certificados com data de expiração no prazo de 14 dias.

Antes de carregar um certificado SSL personalizado na Cloudflare, certifique-se de que o arquivo de chave privada não seja protegido por senha.

Pré-requisitos

Dois pré-requisitos são necessários para carregar seu certificado Custom SSL na Cloudflare:

Remover a senha do arquivo da chave privada

Se um arquivo de chave carregado for protegido por senha, o aplicativo SSL/TLS da Cloudflare gerará o seguinte erro:

Essa chave é protegida por senha. Remova a senha e, em seguida, reenvie o arquivo.

A solução para remover a senha de um arquivo de chave depende do sistema operacional utilizado. Por exemplo, se o arquivo meudominio.com.key for um arquivo de chave privada, a proteção por senha pode ser removida por meio de um dos seguintes métodos:

No Linux:

     1. Abra um terminal de comando.

2. Navegue até o diretório que contém o arquivo meudominio.com.key.

     3. Copie a chave original:

          cp meudominio.com.key temp.key

     4. Execute o seguinte comando:

          openssl rsa -in temp.key -out meudominio.com.key

5. Quando solicitado na janela do terminal, digite a senha original da chave.

6. Carregue o conteúdo do arquivo meudominio.com.key na Cloudflare.

No Windows:

1. Navegue até http://indy.fulgan.com/SSL/.

2. Baixe a versão mais recente do OpenSSL para o seu sistema operacional x86 ou x86_64.

     3. Abra o arquivo .zip e o descompacte.

4. Clique em openssl.exe.

     5. Na janela de comando que aparece, execute o seguinte:

          rsa -in C:\Path\To\meudominio.com.key -out key.pem

6. Digite a senha original da chave quando solicitado na janela de comando do openssl.exe.

7. Carregue na Cloudflare o conteúdo do arquivo key.pem, não do arquivo meudominio.com.key.

Converter a chave privada e o certificado para o formato PEM

Certifique-se de que a chave privada e o certificado foram convertidos para um formato PEM padrão, como o PFX. A Cloudflare aceita os seguintes formatos:

  • As chaves e certificados com codificação PEM devem estar contidos em um arquivo de texto simples, geralmente terminado com a extensão de arquivo .pem, que contém o certificado e/ou a chave privada não criptografados.
  • Os arquivos PKCS #7 geralmente são terminados com uma extensão de arquivo p7b ou p7c e são codificados no formato "signedData" (os formatos data, envelopedData, signedAndEnvelopedData, digestedData e encryptedData não são suportados).
  • Os arquivos PKCS #12 geralmente são terminados com .pfx ou .p12e são criptografados com uma senha em branco.

Consulte a documentação sobre Como converter usando OpenSSL para obter exemplos de conversão.  Ignorar esse pré-requisito causará um erro ao carregar o certificado SSL: A chave não pode ser analisada.

Como carregar um certificado SSL personalizado

Para carregar um certificado SSL personalizado, execute as seguintes etapas:

     1. Faça o login no painel da Cloudflare.

2. Clique na conta apropriada da Cloudflare e selecione o domínio adequado.

3. Clique no aplicativo SSL/TLS.

4. Clique em Carregar o certificado SSL personalizado na seção Certificados na Borda. A janela para Carregar o certificado Custom SSL e a chave é exibida.

A Cloudflare exige arquivos separados para a chave privada e o certificado SSL, com codificação PEM. Entre em contato com sua Autoridade de Certificação (CA) para confirmar se o certificado atual atende a esse requisito ou solicite que sua Autoridade de Certificação o ajude com a conversão de formato do certificado.

     5. Abra o arquivo do certificado SSL.

Alternativamente, clique e Cole o link do arquivo que fica no canto superior direito do certificado SSL e das áreas de texto da Chave privada para navegar até os arquivos de SSL corretos.

6. Copie e cole o conteúdo do arquivo do certificado SSL na área de texto do certificado SSL.

Inclua as linhas -----BEGIN e -----END no início e no fim dos dados do certificado SSL e da chave privada, conforme demonstrado no exemplo de conteúdo do certificado SSL e das áreas de texto da Chave privada.

7. Selecione o Método de Agrupamento adequado (veja as instruções abaixo).

     8. Abra o arquivo de chave privada do certificado SSL.

9. Copie e cole o conteúdo do arquivo de chave privada na área de texto da Chave privada.

10. Selecione o Geo Key Manager (veja as instruções abaixo).

Quando for adicionado um valor de chave que não corresponda ao certificado SSL personalizado, será exibida a seguinte mensagem de erro: A chave informada não corresponde ao certificado. Entre em contato com sua Autoridade de Certificação para garantir que a chave privada corresponda ao certificado.

Você também pode usar a API v4 da Cloudflare para carregar certificados.

As instruções para atualizar um certificado SSL personalizado são muito semelhantes ao processo de carregamento original do certificado.

Como selecionar o Método de Agrupamento

O Método de Agrupamento determina como o certificado SSL é agrupado com os certificados intermediários para preencher a cadeia de certificados. O Método de Agrupamento permite que os clientes selecionem a cadeia de certificados SSL de sua preferência:

  • Compatível permite a maior compatibilidade possível com os clientes e navegadores mais antigos.
  • Moderno otimiza a cadeia de certificados para obter maior eficiência utilizando certificados intermediários mais novos e em menor número, que negligenciam alguns navegadores mais antigos.
  • Definido pelo usuário permite que os clientes forneçam sua própria cadeia de certificados.

Como selecionar as restrições de chave privada do Geo Key Manager

O Geo Key Manager estabelece um limite de quais data centers da Cloudflare podem armazenar a chave privada SSL.  A distância geográfica entre a região do data center que mantém as chaves privadas e a localização da solicitação de HTTPS de um visitante podem causar alguma latência nas solicitações iniciais.  Confira a postagem do blog da Cloudflare que apresenta o Geo Key Manager para saber mais.

Para atualizar a configuração do Geo Key Manager, exclua e adicione novamente um certificado SSL personalizado.

Habilitar o suporte do cliente legado

O Suporte do Cliente Legado alterna o suporte de Indicação de Nome de Servidor (SNI).  As opções são: 

  • Moderno: somente SNI
  • Legado: suporta não SNI

Moderno é o comportamento padrão, recomendado pela Cloudflare.  Use Legado quando um cliente específico necessitar de suporte não SNI.  Atualmente, a API da Cloudflare trata todos os certificados SSL personalizados como Legado.  

Como atualizar um certificado SSL personalizado

Cada certificado SSL tem uma data de vencimento. Os certificados SSL personalizados não são renovados automaticamente pela Cloudflare. Portanto, você precisa monitorar as datas de expiração dos seus certificados SSL personalizados e adquirir certificados SSL atualizados junto ao fornecedor do certificado.

A Cloudflare não começa a servir um certificado Universal SSLou um certificado Dedicated SSL automaticamente após o certificado SSL personalizado de um domínio ter expirado. Exclua manualmente o certificado SSL personalizado expirado do aplicativo SSL/TLS da Cloudflare para começar a servir os certificados SSL universais ou dedicados.

Para atualizar um certificado SSL personalizado carregado anteriormente, siga as etapas abaixo:

     1. Faça o login no painel da Cloudflare.

2. Clique na conta Cloudflare adequada ao domínio e selecione o domínio adequado.

3. Clique no aplicativo SSL/TLS.

4. Na guia Certificados de borda, clique em Gerenciar para o certificado SSL personalizado cujo Tipo consta como Carregado.

5. Clique no ícone de chave inglesa e aparecerá uma janela solicitando que você Substitua o certificado SSL e a chave.

6. Siga as instruções originais a partir da Etapa 5 na seção Carregar um certificado SSL personalizado deste guia.

A Cloudflare verifica automaticamente a validade do certificado e da chave privada para prevenir a substituição de um certificado válido existente.

Recursos relacionados

Esse artigo foi útil?
Usuários que acharam isso útil: 15 de 45
Não encontra o que precisa?
Pergunte à comunidade   Submit a request

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.

Questões populares: Por que meu site está lento, Erro 522, Estou esperando um aumento no tráfego