Adicionar um certificado SSL

Saiba como adicionar seu próprio certificado SSL usando as ferramentas de autoatendimento do Cloud Manager.

DICA

Um certificado pode levar alguns dias para ser provisionado. A Adobe recomenda que o certificado seja provisionado com bastante antecedência.

Formato do certificado

Os arquivos de certificado SSL devem estar no formato PEM para serem instalados com o Cloud Manager. Extensões de arquivo comuns no formato PEM incluem .pem, .crt, .cer, e .cert.

Os seguintes comandos openssl podem ser usados para converter certificados não PEM.

  • Converter PFX em PEM

    openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
    
  • Converter P7B em PEM

    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
    
  • Converter DER em PEM

    openssl x509 -inform der -in certificate.cer -out certificate.pem
    

Adição de um certificado

Siga estas etapas para adicionar um certificado usando o Cloud Manager.

  1. Faça logon no Cloud Manager em my.cloudmanager.adobe.com e selecione a organização e o programa apropriado.

  2. Acesse a tela Ambientes a partir da página Visão geral.

  3. Clique em Certificados SSL no painel de navegação esquerdo. Uma tabela com detalhes de todos os certificados SSL existentes é exibida na tela principal.

    Adição de um certificado SSL

  4. Clique em Adicionar certificado SSL para abrir a caixa de diálogo Adicionar certificado SSL.

    • Insira um nome para o certificado em Nome do certificado.
      • Isso é apenas para fins de informação e pode ser qualquer nome que o ajude a identificar o certificado com facilidade.
    • Cole os valores de Certificado, Chave privada e Cadeia de certificado nos respectivos campos. Todos esses três campos são obrigatórios.

    Caixa de diálogo Adicionar certificado SSL

    • Todos os erros detectados são exibidos.
      • É necessário corrigir todos eles para salvar o certificado.
      • Consulte a seção Erros de certificado para saber mais sobre como resolver erros comuns.
  5. Clique em Salvar para salvar o certificado.

Depois de salvo, o certificado será exibido como uma nova linha na tabela.

Certificado SSL salvo

OBSERVAÇÃO

É necessário ser um membro com a função Proprietário da empresa ou Gerente de implantação para instalar um certificado SSL no Cloud Manager.

Erros de certificado

Certos erros podem ocorrer se um certificado não for instalado corretamente ou atender aos requisitos do Cloud Manager.

Política de certificado

Se o seguinte erro for exibido, verifique a política do seu certificado.

Certificate policy must conform with EV or OV, and not DV policy.

Normalmente, as políticas de certificados são identificadas por valores OID incorporados. Extrair o texto de um certificado e pesquisar o OID revelarão a política do certificado.

Você pode exibir os detalhes do certificado como texto usando o exemplo a seguir como guia.

openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            91:78:c0:f5:8c:b8:fc:cc
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
        Validity
            Not Before: Nov 10 22:55:36 2021 GMT
            Not After : Dec  6 15:35:06 2022 GMT
        Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
        Subject Public Key Info:
...

O padrão OID no texto define o tipo de política do certificado.

Padrão Política Aceitável no Cloud Manager
2.23.140.1.1 EV Sim
2.23.140.1.2.2 OV Sim
2.23.140.1.2.1 DV Não

Ao grep fazer ping nos padrões OID no texto extraído do certificado, é possível confirmar a política do certificado.

# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5

# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5

# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5

Ordem correta de certificados

O motivo mais comum para uma falha na implantação de um certificado é os certificados intermediários ou em cadeia não estarem na ordem correta.

Os arquivos de certificado intermediários devem terminar com o certificado raiz ou o certificado mais próximo da raiz. Eles devem estar em ordem decrescente, do main/server certificado à raiz.

Você pode determinar a ordem dos arquivos intermediários usando o comando a seguir.

openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout

Você pode verificar se a chave privada e o certificado main/server correspondem usando os comandos a seguir.

openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
OBSERVAÇÃO

A saída desses dois comandos deve ser exatamente a mesma. Se não conseguir localizar uma chave privada correspondente para seu main/server , você precisará rechavear o certificado gerando uma nova CSR e/ou solicitando um certificado atualizado de seu fornecedor de SSL.

Datas de validade do certificado

O Cloud Manager espera que o certificado SSL seja válido por pelo menos 90 dias a partir da data atual. Você deve verificar a validade da cadeia de certificados.

Nesta página