Adicionar um certificado SSL adding-an-ssl-certificate
Saiba como adicionar seu próprio certificado SSL usando as ferramentas de autoatendimento do Cloud Manager.
Requisitos de certificado certificate-requirements
Revise a seção Requisitos de Certificado do documento Introdução ao Gerenciamento de Certificados SSL para garantir que o certificado que você deseja adicionar seja suportado pela AEM as a Cloud Service.
Adição de um certificado adding-a-cert
Siga estas etapas para adicionar um certificado usando o Cloud Manager.
-
Faça logon no Cloud Manager em my.cloudmanager.adobe.com e selecione a organização apropriada
-
No console Meus Programas, selecione o programa.
-
Acesse a tela Ambientes a partir da página Visão geral.
-
Clique em Certificados SSL no painel de navegação esquerdo. Uma tabela com detalhes de todos os certificados SSL existentes é exibida na tela principal.
-
Clique em Adicionar certificado SSL para abrir a caixa de diálogo Adicionar certificado SSL.
- Insira um nome para o certificado em Nome do certificado.
- Isso é apenas para fins de informação e pode ser qualquer nome que o ajude a identificar o certificado com facilidade.
- Cole os valores de Certificado, Chave privada e Cadeia de certificado nos respectivos campos. Todos esses três campos são obrigatórios.
-
Todos os erros detectados são exibidos.
- É necessário corrigir todos eles para salvar o certificado.
- Consulte a seção Erros de certificado para saber mais sobre como resolver erros comuns.
- Insira um nome para o certificado em Nome do certificado.
-
Clique em Salvar para salvar o certificado.
Depois de salvo, o certificado será exibido como uma nova linha na tabela.
Erros de certificado certificate-errors
Certos erros podem ocorrer se um certificado não for instalado corretamente ou atender aos requisitos do Cloud Manager.
Remover Certificados de Cliente client-certificates
Ao adicionar um certificado, se você receber um erro semelhante ao seguinte:
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.
Você provavelmente incluiu o certificado de cliente na cadeia de certificados. Certifique-se de que a cadeia não inclua o certificado de cliente e tente novamente.
Política de certificado certificate-policy
Se o seguinte erro for exibido, verifique a política do seu certificado.
Certificate policy must conform with EV or OV, and not DV policy.
Normalmente, as políticas de certificados são identificadas por valores OID incorporados. Extrair o texto de um certificado e pesquisar o OID revelarão a política do certificado.
Você pode exibir os detalhes do certificado como texto usando o exemplo a seguir como guia.
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
O padrão OID no texto define o tipo de política do certificado.
2.23.140.1.1
2.23.140.1.2.2
2.23.140.1.2.1
Ao grep
fazer ping nos padrões OID no texto extraído do certificado, é possível confirmar a política do certificado.
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
Ordem correta de certificados correct-certificate-order
O motivo mais comum para uma falha na implantação de um certificado é os certificados intermediários ou em cadeia não estarem na ordem correta.
Os arquivos de certificado intermediários devem terminar com o certificado raiz ou o certificado mais próximo da raiz. Eles devem estar em ordem decrescente, do main/server
certificado à raiz.
Você pode determinar a ordem dos arquivos intermediários usando o comando a seguir.
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
Você pode verificar se a chave privada e o certificado main/server
correspondem usando os comandos a seguir.
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
main/server
, será necessário rechavear o certificado gerando uma nova CSR e/ou solicitando um certificado atualizado do seu fornecedor de SSL.Datas de validade do certificado certificate-validity-dates
O Cloud Manager espera que o certificado SSL seja válido por pelo menos 90 dias a partir da data atual. Você deve verificar a validade da cadeia de certificados.