FPI - Fórum para Provedores de Internet
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
FPI - Fórum para Provedores de Internet


Você não está conectado. Conecte-se ou registre-se

Certificados SSL Válidos no BFW 3 : Criação e Instalação !

2 participantes

Ir para baixo  Mensagem [Página 1 de 1]

goodposting

goodposting
MODERADOR
MODERADOR

olá companheiros,

corri muito atrás de certificados válidos pra usar com o sapw 3.1.24 instalado no BFW 3.x. a idéia inicial é aumentar a segurança na tela de autenticação do hotspot,
usando um certificado ssl válido, trabalhando no modo https.

to passando aqui pra passar um pouco da experiência que eu absorvi
conversando com Woshman, com a empresa de certificação ComodoBR, com a
empresa GoDaddy.com, com a Geo Cert aqui no Brasil e várias outras nacionais e estrangeiras. os contatos foram via email, msn, telefone, formulários e ticket´s de suporte dos sites.

pra q serve um certificado ssl válido?
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Cert3

um certificado de segurança, primeiramente garante uma conexão
criptografada de 128 bit, 256 bit ou 512bit , evitando assim q os dados
sejam interceptados por terceiros na internet ou até mesmo na rede
local. isso é muito importante e é vital pro acesso a Sites de Banco,
Sites de Lojas onde vc informa dados do seu cartão de crédito ou informa
seu cpf e demais dados pessoais. além de servir pra administrar seu BFW
e SAPW via webadmin, tb serve no Webmail (hotmail, gmail, etc...), onde
vc sempre está digitando seu usuário e senha, fazendo login.
recentemente foi lançado o addon Webserver e acredito q um certificado
tb será útil pra quem hospeda sites no servidor bfw e possui um domínio
válido registrado (fulano.com.br).
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Cert4

um
certificado no seu servidor garante que você é você. simples assim. pra
isso ele deve ser emitido por uma empresa legalizada, conhecida e
autorizada a vender certificados de segurança. essa terceira pessoa confiável prova pro seu cliente que você é você mesmo.

as empresas que homologam certificados
e q são mais conhecidas no mercado atualmente são: VeriSign, Thawte,
Godaddy, GeoTrust, Comodo, Startcom, Microsoft e Google, dentre outras.

a
questão de se ter ou não um certificado válido instalado em um servidor
BFW 3 vai de acordo com a necessidade de cada administrador de rede,
dono de empresa ou provedor.

é chato ficar vendo avisos nos
navegadores dizendo q uma conexão não é confiável e ter q ficar clicando
nas opções dos navegadores pra adicionar excessão de segurança
(firefox) ou continuar (internet explorer), dentre outras coisas. isso
acontece ao acessar o webadmin do bfw, do sapw e no portal do sapw
visualizado pelos clientes da rede.

no meu caso, como possuo
provedor, eu planejei fazer a autenticação dos meus clientes por HTTPS
no sapw, precisando assim de um certificado SSL
válido instalado em meu servidor BFW 3. com isso somem as mensagens de
aviso de segurança dos navegadores dos meus clientes e eu transmito mais
confiança a meus clientes mostrando um certificado emitido
exclusivamente pra minha empresa e pro meu servidor. outra vantagem é o
cliente ver uma terceira pessoa (confiável) envolvida com a minha
empresa, no atendimento a ele.

um detalhe:
para não ver avisos de segurança nos navegadores pode ser feito um procedimento simples, rápido e gratuito que consta na wiki:
http://pt-br.wiki.brazilfw.com.br/Certificate/pt-br
com
isso, vc adiciona uma excessão, salvando o certificado gerado pelo seu
BFW 3, q é inválido, porque não é emitido por uma das empresas acima
citadas, q constam na lista dos navegadores q usamos atualmente.

só que:
a
maioria dos clientes q temos aqui não sabem nem onde fica a tecla F10
do teclado e por incrível q pareça, muitos deles nem tem e-mail depois
de 1 ano com internet em casa.
então preciso de um certificado válido
pra resolver qualquer tipo de confusão com meus clientes. preciso
trazer segurança à autenticação deles e tb a eles, além de reduzir ao
máximo o número de ligações dos clientes com reclamações e desconfianças
aqui pra loja. a maioria já vem e pergunta: "tem uma tela esquisita
aqui no meu pc dizendo q a conexão com a internet não é confiável ! o q
eu faço ?! eu não consigo entrar na internet ! "

analisando todos os benefícios de um certificado ssl, cheguei a conclusão de q vale a pena instalar um (gratuito ou pago) em meu servidor bfw 3.

seguem as dicas:

- instalar um programa (.exe) gratuito e confiável, q instala a
certificação raiz do BrazilFw, no pc com windows do cliente. essa é
outra forma de acabar de vez com os avisos nos navegadores dos clientes.
vejam nesse site: http://www.internetamiga.com.br/avisos
o programa em questão é universal e pode ser baixado por qualquer um.
funciona com windows xp, vista e 7 e com os navegadores firefox,
internet explorer e outros.

os créditos desse programa vão pro Woshman. foi ele quem fez e ficou como boa alternativa gratuita pra resolver essa questão.

antes
de instalar o programa no cliente, entre no webadmin do seu bfw e vá em
Configurações / Sistema / Webadmin / Configurações e digite o IP
correto do seu servidor e clique em salvar, depois clique em renovar.
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Semttuloaft

pronto.
resolvido. mas o programa tem q ser baixado pelo seu cliente e
instalado uma única vez no pc dele. esse programa pode ficar no seu site
pra q seu cliente baixe e instale. esse procedimento é simples pra nós,
mas pros clientes q nem sabem o q é um e-mail, isso pode se tornar uma
tarefa árdua. Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Icon_lol


- Criar e instalar um certificado válido no servidor. essa é outra
forma de acabar com os avisos nos navegadores dos clientes e agregar
mais valor, confiança e segurança ao seu servidor bfw. geralmente um
certificado válido não se consegue de graça. mas existe um site q gera certificados gratuitos pra quem tem um domínio válido registrado. é o site https://www.startssl.com da StartCom. me parece q é o único atualmente q dá certificados mais simples de graça. se souberem de mais algum site q forneça certificados ssl gratuitos de verdade nos avise aqui no fórum. por enquanto só sei da startcom.

o
engraçado é q quando entrei no tradutor do google com a palavra
startcom o resultado da tradução foi RedHat. rsrsrsrs com isso se deduz
na hora o envolvimento da empresa RedHat com a StartCom. achei super
legal o site deles e pra logar la usamos um certificado digital q
criamos no inicio do cadastro. eles tem certificados mais avançados a venda e o certificado básico e gratuito deles foi reconhecido somente pelo internet explorer Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Icon_mad
,mas já quebra uma galhão. tem um ditado que diz: "cavalo dado não se
olha os dentes." pra conseguir um certificado gratuito com eles basta
seguir as instruções do site, após seu cadastro.

um certificado
válido geralmente tem validade de um ano e vc tem q ter um domínio
válido (www.fulano.com) registrado, além de um email webmaster desse
domínio (webmaster@fulano.com) para conseguir gerar um certificado para
seu site ou servidor bfw. o site da startcom dá um arquivo .key e um
arquivo .crt , assim, com seu certificado em mãos, vamos a instalação:

obs.:
o bfw trabalha em cima do arquivo brazilfw_ssl.pem e os demais arquivos
brazilfw_ssl.key e brazilfw_ssl.crt precisam estar presentes no
diretório /cert e seus nomes não podem ser diferentes disso. vc ficará
sem webadmin caso saia algo errado. Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Goodpost2

-
copie os dois arquivos gerados pela startcom (.key e .crt) pro seu
diretório /etc/brazilfw/cert ...pode ser via winSCP. para não dar
confusão, depois apague (ou faça backup) os três arquivos originais q
estão dentro do diretório /cert . (os q citei acima: .crt , .key e o
.pem) ...agora com os dois arquivos da startcom copiados, renomeie eles
pra brazilfw_ssl.key e brazilfw_ssl.crt pra irmos ao próximo passo e
gerar um novo arquivo .pem !

...no terminal:
- Code: Select allcd /etc/brazilfw/cert
cat brazilfw_ssl.key brazilfw_ssl.crt > brazilfw_ssl.pem
chmod 0600 brazilfw_ssl.pem
/usr/local/sbin/openssl rsa -in brazilfw_ssl.key -out no.brazilfw_ssl.key
cat no.brazilfw_ssl.key brazilfw_ssl.crt > brazilfw_ssl.pem
backup
reboot

...em
resumo: um CAT, um CHMOD, um OPENSSL, um CAT de novo e um BACKUP. quem
souber recarregar o lighttpd pra não precisar do reboot fique a vontade.
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Semttulozmz
pronto,
certificado instalado. vc pode estar se perguntando com esse print,
porque o erro de certificado logo acima, no internet explorer... isso
foi por causa do "emitido para" www.fulano.com... deveria ter sido
emitido pro IP do seu servidor, ok? (192.168.0.1) a questão aqui é q
praticamente todas a empresas só geram certificado pra domínio válido,
como já comentei aqui. a única q gera certificado pra IP é a comodo BR.
vide print no início do tópico.

eu entrei em discussão com várias empresas q vendem certificados e não teve jeito. quase todas só emitem certificados pra domínio e não pra IP.
acho
q isso é por medida de segurança e tal... mas perguntei o seguinte pra
muitas dessas empresas: "como eu com um servidor em uma intranet ,em uma
rede privada, vou ter um domínio válido pra vc gerar meu
certificado???" ...infelizmente isso não foi argumento suficiente pra
eles me venderem um certificado pra IP. falei q era pra uso privado com
meus clientes, etc... a única saída é a comodo BR. se alguém souber de
outra empresa q faça certificados pra IP, avisa pra gente. Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Goodpost2

um certificado da VeriSign pode custar cerca de 1.500,00 reais anual. um da radipssl custa 89,00 e já achei certificados de até 65,00 anual. preço ótimo, mas não geram pra IP nem de baixo de paulada. Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Muro

por uma incrível coincidência, o google resolveu colocar no ar sua busca em HTTPS, usando um certificado ssl
de 128 bits homologado por eles e expedido dia 19/01/2012, válido até
2013. percebi isso hoje (31/01/2012) e agora vejo q as buscas não
entrarão mais no cache do squid, caso alguém digite https na barra de
endereços. Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Icon_mad
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Googlez

- comprando e instalando um certificado válido no bfw...
como já disse, só achei a comodoBR q faz certificados pra IP e é pra IP q precisamos nos nossos servidores se for pra uso com o sapw e com o webadmin.

a
comodoBR tem um certificado trial q é válido por 30 dias e pode ser
adquirido por qualquer pessoa pra fins de testes no servidor e extinção
de dúvidas antes da compra do certificado final, com duração de um ano.

na
compra de qualquer certificado ou no teste de qualquer certificado
trial, com qualquer empresa q os vendem vc precisará, antes de qualquer
coisa, gerar o CSR do seu servidor BFW.
o arquivo com extensão .csr
contém informações particulares suas e do seu servidor e seu conteúdo
deve ser informado depois, no início do cadastro com a empresa de sua
escolha.

gerando o CSR (Certificate Signing Request):

Code: Select allcd /etc/brazilfw/cert
/usr/local/sbin/openssl genrsa -out 192.168.0.1.key 2048
/usr/local/sbin/openssl req -new -key 192.168.0.1.key -out 192.168.0.1.csr

observem q vc´s devem colocar o IP do servidor de vc´s no lugar do 192.168.0.1 ,ok?

no segundo comando, respondam as perguntas:

    Country Name: BR

    State or Province Name: Seu estado por extenso e sem abreviações.

    Locality Name: Sua cidade.

    Organization: Nome oficial da empresa, igual ao existente no cartão do CNPJ.

    Organizational Unit: Departamento ou setor da empresa.

    Common Name: url onde o certificado vai ser utilizado. no meu caso informei o IP do meu servidor aqui.

    Email Address: Não informe nada, deixe em branco.

    A challenge password: Não informe nada, deixe em branco.

    An optional company name: Não informe nada, deixe em branco.

pronto.
o CSR foi criado e armazenado no arquivo 192.168.0.1.csr, copie o seu
conteúdo e cole no formulário de pedido do certificado digital. quando
for perguntado qual o seu servidor web responda WHM/cPanel. isso, já q não consta BFW 3 na lista.

após consulta e avaliação feita pela empresa de sua preferência, seu certificado será emitido e enviado a vc.
a
forma de instalar o certificado pode variar de empresa pra empresa,
assim como a entrega do certificado. agora vou passar como instalar o
certificado trial da comodoBR q é de forma parecida com a instalação do
certificado da StartCom.

a comodoBR envia dois arquivos. um arquivo com extensão .crt (serve pra criar o novo .pem) e outro arquivo com extensão .ca-bundle (certificado intermediário). o arquivo .key vc usa o que foi gerado por vc, na hora de criar o seu CSR.

o arquivo com extensão .pem (o mais importante) deve ser criado seguindo as instruções da dica desse tutorial. passo a passo e os comandos via terminal.

agora é o seguinte: renomeie o arquivo .key q vc gerou pra brazilfw_ssl.key e o arquivo .crt (certificado final entregue pela comodo) agora só servirá pra criar o seu arquivo .pem ...depois de criar o .pem seguindo as instruções da 2ª dica, pode apagar (ou fazer backup) esse arquivo .crt .

o arquivo com extensão .ca-bundle deverá ser renomeado pra brazilfw_ssl.crt , finalizando assim a instalação.

obs.: a diferença aqui é q vc tem q gerar o seu .csr , vc usa o seu .key e o arquivo com extensão .ca-bundle
vc renomeia pra brazilfw_ssl.crt , descartando o .crt entregue pela
comodo. ... a criação do arquivo .pem é feita da mesma forma q é feita
a da StartCom (na 2ª dica).

relembrando: temos q ter um brazilfw_ssl.key , um brazilfw_ssl.crt e um brazilfw_ssl.pem no diretório /cert . Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Goodpost2

depois
de dar backup, recarregar o serviço ou reiniciar o servidor, faça o
teste nos navegadores e veja se o certificado foi instalado.

gostei das informações do google chrome 16.0 . são bem detalhadas.
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Semttuloes

outro print...
https://2img.net/r/ihimizer/img811/6256/certl.png
e outro:
https://2img.net/r/ihimizer/img204/4292/cert2.png

caso
queira remover o certificado instalado agora pelo original do bfw,
basta seguir a primeira dica desse tutorial, usando a opção renovar no
webadmin.

créditos ao Wosh por essa dica:
http://www.rapidssl.com.br/certificado-digital/apache-ssl.php
e essa:
http://www.cyberciti.biz/tips/how-to-install-ssl-lighttpd-https-configuration.html
me matei aqui pra traduzir isso e adaptar os comandos ao bfw, mas isso é questão de costume. agora faço em menos tempo!

passei o site israelense da StartCom (http://www.startssl.com) pro wosh e ele instalou um certificado ssl válido no bfw dele em menos de 10 minutos! Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Icon_lol
na hora fiquei meio doido aqui me perguntando "como pode isso???" mas é questão de costume mesmo.

um detalhe é q quando a barra do navegador fica verde é sinal de maior segurança e tb sinal de certificado mais caro. a barra do navegador azul significa q o certificado é bom, confiável ou q vc adicionou uma excessão de segurança.
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Startcom


eu mesmo criei o tutorial. qualquer problema informem.
um abraço a todos,
Certificados SSL Válidos no BFW 3 : Criação e Instalação ! Goodpost2

demattos

demattos
MODERADOR
MODERADOR

Ótima contribuição amigo

http://www.criciumanet.com.br

Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos