Skip to main content
Active IQ Unified Manager 9.11
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Instalar um certificado HTTPS gerado usando ferramentas externas

Colaboradores

Você pode instalar certificados que são autoassinados ou CA assinados e são gerados usando uma ferramenta externa como OpenSSL, BoringSSL, LetsEncrypt.

Você deve carregar a chave privada junto com a cadeia de certificados porque esses certificados são gerados externamente pelo par de chaves público-privadas. Os algoritmos de par de chaves permitidos são "RSA" e "EC". A opção Instalar certificado HTTPS está disponível na página certificados HTTPS na seção Geral. O arquivo que você carregar deve estar no seguinte formato de entrada.

  1. Chave privada do servidor que pertence ao host Active IQ UM

  2. Certificado do servidor que corresponde à chave privada

  3. Certificado das CAs em sentido inverso até a raiz, que são usados para assinar o certificado acima

Formato para carregar um certificado com um par de chaves EC

As curvas permitidas são "prime256v1" e "ecp384r1". Amostra de certificado com um par EC gerado externamente:

 -----BEGIN EC PRIVATE KEY-----
<EC private key of Server>
-----END EC PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

Formato para carregar um certificado com um par de chaves RSA

Os tamanhos de chave permitidos para o par de chaves RSA pertencentes ao certificado de host são 2048, 3072 e 4096. Certificado com um par de chaves RSA gerado externamente:

-----BEGIN RSA PRIVATE KEY-----
 <RSA private key of Server>
 -----END RSA PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

Depois que o certificado for carregado, você deverá reiniciar a instância do Active IQ Unified Manager para que as alterações entrem em vigor.

Verifica durante o carregamento de certificados gerados externamente

O sistema executa verificações ao carregar um certificado gerado usando ferramentas externas. Se alguma das verificações falhar, o certificado será rejeitado. Há também validação incluída para os certificados que são gerados a partir do CSR dentro do produto e para os certificados que são gerados usando ferramentas externas.

  • A chave privada na entrada é validada com base no certificado do host na entrada.

  • O Nome Comum (CN) no certificado de host é verificado em relação ao FQDN do host.

  • O Nome Comum (CN) do certificado de anfitrião não deve estar vazio ou em branco e não deve ser definido como localhost.

  • A data de início da validade não deve ser futura e a data de validade do certificado não deve ser anterior.

  • Se houver CA ou CA intermediária, a data de início de validade do certificado não deve ser no futuro e a data de validade não deve ser no passado.

Observação

A chave privada na entrada não deve ser criptografada. Se houver chaves privadas criptografadas, elas serão rejeitadas pelo sistema.

Exemplo 1

----BEGIN ENCRYPTED PRIVATE KEY-----
<Encrypted private key>
-----END ENCRYPTED PRIVATE KEY-----

Exemplo 2

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END RSA PRIVATE KEY-----

Exemplo 3

-----BEGIN EC PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END EC PRIVATE KEY-----