Saiba como adicionar seu próprio certificado SSL usando as ferramentas de autoatendimento do Cloud Manager.
Um certificado pode levar alguns dias para ser provisionado. A Adobe recomenda que o certificado seja provisionado com bastante antecedência.
Os arquivos de certificado SSL devem estar no formato PEM para serem instalados com o Cloud Manager. Extensões de arquivo comuns no formato PEM incluem .pem,
.crt
, .cer
, e .cert
.
Os seguintes comandos openssl
podem ser usados para converter certificados não PEM.
Converter PFX em PEM
openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
Converter P7B em PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
Converter DER em PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
Siga estas etapas para adicionar um certificado usando o Cloud Manager.
Faça logon no Cloud Manager em my.cloudmanager.adobe.com e selecione a organização e o programa apropriado.
Acesse a tela Ambientes a partir da página Visão geral.
Clique em Certificados SSL no painel de navegação esquerdo. Uma tabela com detalhes de todos os certificados SSL existentes é exibida na tela principal.
Clique em Adicionar certificado SSL para abrir a caixa de diálogo Adicionar certificado SSL.
Clique em Salvar para salvar o certificado.
Depois de salvo, o certificado será exibido como uma nova linha na tabela.
É necessário ser um membro com a função Proprietário da empresa ou Gerente de implantação para instalar um certificado SSL no Cloud Manager.
Certos erros podem ocorrer se um certificado não for instalado corretamente ou atender aos requisitos do Cloud Manager.
Se o seguinte erro for exibido, verifique a política do seu certificado.
Certificate policy must conform with EV or OV, and not DV policy.
Normalmente, as políticas de certificados são identificadas por valores OID incorporados. Extrair o texto de um certificado e pesquisar o OID revelarão a política do certificado.
Você pode exibir os detalhes do certificado como texto usando o exemplo a seguir como guia.
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
O padrão OID no texto define o tipo de política do certificado.
Padrão | Política | Aceitável no Cloud Manager |
---|---|---|
2.23.140.1.1 |
EV | Sim |
2.23.140.1.2.2 |
OV | Sim |
2.23.140.1.2.1 |
DV | Não |
Ao grep
fazer ping nos padrões OID no texto extraído do certificado, é possível confirmar a política do certificado.
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
O motivo mais comum para uma falha na implantação de um certificado é os certificados intermediários ou em cadeia não estarem na ordem correta.
Os arquivos de certificado intermediários devem terminar com o certificado raiz ou o certificado mais próximo da raiz. Eles devem estar em ordem decrescente, do main/server
certificado à raiz.
Você pode determinar a ordem dos arquivos intermediários usando o comando a seguir.
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
Você pode verificar se a chave privada e o certificado main/server
correspondem usando os comandos a seguir.
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
A saída desses dois comandos deve ser exatamente a mesma. Se não conseguir localizar uma chave privada correspondente para seu main/server
, você precisará rechavear o certificado gerando uma nova CSR e/ou solicitando um certificado atualizado de seu fornecedor de SSL.
O Cloud Manager espera que o certificado SSL seja válido por pelo menos 90 dias a partir da data atual. Você deve verificar a validade da cadeia de certificados.