Introdução aos certificados SSL introduction
Saiba mais sobre as ferramentas de autoatendimento que a Cloud Manager fornece para instalar e gerenciar certificados SSL (Secure Socket Layer).
O que são certificados SSL? overview
Empresas e organizações usam certificados SSL (Secure Socket Layer) para proteger seus sites e permitir que seus clientes confiem neles. Para usar o protocolo SSL, um servidor da Web exige um certificado SSL.
Quando uma entidade, como uma organização ou empresa, solicita um certificado de uma autoridade de certificação (CA), a CA conclui um processo de verificação. Esse processo pode variar desde a verificação do controle do nome de domínio até a coleta de documentos de registro da empresa e contratos de assinante. Depois que as informações de uma entidade são verificadas, a CA assina sua chave pública usando a chave privada da CA. Como todas as principais Autoridades de Certificação têm certificados raiz em navegadores da Web, o certificado da entidade é vinculado por meio de uma cadeia de confiança, e o navegador da Web a reconhece como um certificado confiável.
Gerenciar certificados com o Cloud Manager cloud-manager
O Cloud Manager oferece ferramentas de autoatendimento para instalar e gerenciar certificados SSL, garantindo a segurança do site para seus usuários. A Cloud Manager oferece suporte a dois modelos para gerenciar certificados.
Ambos os modelos oferecem os seguintes recursos gerais para gerenciar seus certificados:
- Cada ambiente do Cloud Manager pode usar vários certificados.
- Uma chave privada pode emitir vários certificados SSL.
- O serviço TLS da plataforma encaminha solicitações para o serviço de CDN do cliente, com base no certificado SSL usado para encerramento, e para o serviço de CDN que hospeda esse domínio.
Certificados SSL gerenciados por Adobe (DV) adobe-managed
Os certificados DV são o nível mais básico da certificação SSL e são frequentemente usados para fins de teste ou para proteger sites com criptografia básica. Os certificados DV estão disponíveis em programas de produção e programas de sandbox.
Após a criação do certificado DV, o Adobe o renova automaticamente a cada três meses, a menos que ele seja excluído.
Certificados SSL gerenciados pelo cliente (OV/EV) customer-managed
Os certificados OV e EV oferecem informações validadas pela CA. Essas informações ajudam os usuários a avaliar se o proprietário do site, remetente de email ou signatário digital de documentos de código ou PDF pode ser confiável. Os certificados DV não permitem essa verificação de propriedade.
OV e EV também oferecem esses recursos em relação aos certificados DV na Cloud Manager.
- Vários ambientes podem usar um certificado OV/EV. Ou seja, pode ser adicionado uma vez, mas usado várias vezes.
- Cada certificado OV/EV normalmente contém vários domínios.
- A Cloud Manager aceita certificados OV/EV curingas para um domínio.
Requisitos para certificados SSL OV/EV gerenciados pelo cliente requirements
Se você optar por adicionar seu próprio certificado SSL gerenciado pelo cliente, ele deverá atender aos seguintes requisitos atualizados:
-
Os certificados de Validação de Domínio (DV) e os certificados autoassinados não são compatíveis.
-
O certificado deve estar em conformidade com as políticas OV (Validação da organização) ou EV (Validação estendida).
-
O certificado deve ser um certificado TLS X.509 emitido por uma CA confiável.
-
Os tipos de chave criptográfica compatíveis incluem o seguinte:
- Suporte padrão RSA de 2048 bits.
Chaves RSA maiores que 2048 bits (como chaves RSA de 3072 bits ou 4096 bits) não são suportadas no momento. - Chaves de Curva Elíptica (EC)
prime256v1
(secp256r1
) esecp384r1
- Certificados ECDSA (Elliptic Curve Digital Signature Algorithm). Esses certificados são recomendados em Adobe sobre a RSA para melhor desempenho, segurança e eficiência.
- Suporte padrão RSA de 2048 bits.
-
Os certificados devem estar formatados corretamente para serem aprovados na validação. As chaves privadas devem estar no formato
PKCS#8
.
secp256r1
ou secp384r1
).Práticas recomendadas para gerenciamento de certificados
-
Evitar sobreposição de certificados:
- Para garantir um gerenciamento de certificados simples, evite implantar certificados sobrepostos que correspondam ao mesmo domínio. Por exemplo, ter um certificado curinga (*.example.com) ao lado de um certificado específico (dev.example.com) pode causar confusão.
- A camada TLS prioriza o certificado mais específico e implantado recentemente.
Exemplos de cenários:
-
"Certificado de Desenvolvimento" abrange
dev.example.com
e é implantado como um mapeamento de domínio paradev.example.com
. -
"Certificado de Preparo" abrange
stage.example.com
e é implantado como um mapeamento de domínio parastage.example.com
. -
Se o "Certificado de Preparo" for implantado/atualizado após o "Certificado de Desenvolvimento", ele também servirá solicitações para
dev.example.com
.Para evitar esses conflitos, verifique se os certificados têm cuidadosamente o escopo de seus domínios pretendidos.
-
Certificados curinga:
Embora haja suporte a certificados curingas (por exemplo,
*.example.com
), eles só devem ser usados quando necessário. Em casos de sobreposição, o certificado mais específico tem prioridade. Por exemplo, o certificado específico servedev.example.com
em vez do curinga (*.example.com
). -
Validação e solução de problemas:
Antes de tentar instalar um certificado com o Cloud Manager, a Adobe recomenda validar a integridade do certificado localmente usando ferramentas como oopenssl
. Por exemplo,openssl verify -untrusted intermediate.pem certificate.pem
Formato para certificados gerenciados pelo cliente certificate-format
Os arquivos de certificado SSL devem estar no formato PEM para serem instalados com o Cloud Manager. Extensões de arquivo comuns no formato PEM incluem .pem,
. .crt
, .cer
, e .cert
.
Os seguintes comandos openssl
podem ser usados para converter certificados não PEM.
-
Converter PFX em PEM
code language-shell openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes
-
Converter P7B em PEM
code language-shell openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
-
Converter DER em PEM
code language-shell openssl x509 -inform der -in certificate.cer -out certificate.pem
Limitação do número de certificados SSL instalados limitations
A qualquer momento, a Cloud Manager oferece suporte a até 50 certificados instalados. Esses certificados podem ser associados a um ou mais ambientes em todo o programa e também incluir certificados expirados.
Se tiver atingido o limite, revise os certificados e considere excluir os certificados expirados. Ou agrupe vários domínios no mesmo certificado, pois um certificado pode abranger vários domínios (até 100 SANs).
Saiba mais learn-more
Um usuário com as permissões necessárias pode usar o Cloud Manager para gerenciar certificados SSL para um programa. Consulte os documentos a seguir para obter mais detalhes sobre a utilização desses recursos.