Certificados SSL Válidos no BFW 3 [Criação e Instalação]

Tutoriais BrazilFW 3.x em Português

Certificados SSL Válidos no BFW 3 [Criação e Instalação]

Mensagempor goodposting » Dom Jan 29, 2012 4:10 pm

olá companheiros,

ultimamente corri muito atrás de certificados válidos pra usar com o sapw 3.1.24 instalado no BFW 3.0.255. a idéia inicial é aumentar a segurança na tela de autenticação do hotspot, usando um certificado ssl válido, trabalhando no modo https.

to passando aqui pra passar um pouco da experiência que eu absorvi conversando com Wosh, com a empresa de certificação ComodoBR, com a empresa GoDaddy.com, com a Geo Cert aqui no Brasil e várias outras nacionais e estrangeiras. os contatos foram via email, msn, telefone, formulários e ticket´s de suporte dos sites.

pra q serve um certificado ssl válido?
Imagem

um certificado de segurança, primeiramente garante uma conexão criptografada de 128 bit, 256 bit ou 512bit , evitando assim q os dados sejam interceptados por terceiros na internet ou até mesmo na rede local. isso é muito importante e é vital pro acesso a Sites de Banco, Sites de Lojas onde vc informa dados do seu cartão de crédito ou informa seu cpf e demais dados pessoais. além de servir pra administrar seu BFW e SAPW via webadmin, tb serve no Webmail (hotmail, gmail, etc...), onde vc sempre está digitando seu usuário e senha, fazendo login. recentemente foi lançado o addon Webserver e acredito q um certificado tb será útil pra quem hospeda sites no servidor bfw e possui um domínio válido registrado (fulano.com.br).
Imagem

um certificado no seu servidor garante que você é você. simples assim. pra isso ele deve ser emitido por uma empresa legalizada, conhecida e autorizada a vender certificados de segurança. essa terceira pessoa confiável prova pro seu cliente que você é você mesmo.

as empresas que homologam certificados e q são mais conhecidas no mercado atualmente são: VeriSign, Thawte, Godaddy, GeoTrust, Comodo, Startcom, Microsoft e Google, dentre outras.

a questão de se ter ou não um certificado válido instalado em um servidor BFW 3 vai de acordo com a necessidade de cada administrador de rede, dono de empresa ou provedor.

é chato ficar vendo avisos nos navegadores dizendo q uma conexão não é confiável e ter q ficar clicando nas opções dos navegadores pra adicionar excessão de segurança (firefox) ou continuar (internet explorer), dentre outras coisas. isso acontece ao acessar o webadmin do bfw, do sapw e no portal do sapw visualizado pelos clientes da rede.

no meu caso, como possuo provedor, eu planejei fazer a autenticação dos meus clientes por HTTPS no sapw, precisando assim de um certificado SSL válido instalado em meu servidor BFW 3. com isso somem as mensagens de aviso de segurança dos navegadores dos meus clientes e eu transmito mais confiança a meus clientes mostrando um certificado emitido exclusivamente pra minha empresa e pro meu servidor. outra vantagem é o cliente ver uma terceira pessoa (confiável) envolvida com a minha empresa, no atendimento a ele.

um detalhe:
para não ver avisos de segurança nos navegadores pode ser feito um procedimento simples, rápido e gratuito que consta na wiki:
http://pt-br.wiki.brazilfw.com.br/Certificate/pt-br
com isso, vc adiciona uma excessão, salvando o certificado gerado pelo seu BFW 3, q é inválido, porque não é emitido por uma das empresas acima citadas, q constam na lista dos navegadores q usamos atualmente.

só que:
a maioria dos clientes q temos aqui não sabem nem onde fica a tecla F10 do teclado e por incrível q pareça, muitos deles nem tem e-mail depois de 1 ano com internet em casa.
então preciso de um certificado válido pra resolver qualquer tipo de confusão com meus clientes. preciso trazer segurança à autenticação deles e tb a eles, além de reduzir ao máximo o número de ligações dos clientes com reclamações e desconfianças aqui pra loja. a maioria já vem e pergunta: "tem uma tela esquisita aqui no meu pc dizendo q a conexão com a internet não é confiável ! o q eu faço ?! eu não consigo entrar na internet ! "

analisando todos os benefícios de um certificado ssl, cheguei a conclusão de q vale a pena instalar um (gratuito ou pago) em meu servidor bfw 3.

seguem as dicas:
- instalar um programa (.exe) gratuito e confiável, q instala a certificação raiz do BrazilFw, no pc com windows do cliente. essa é outra forma de acabar de vez com os avisos nos navegadores dos clientes. vejam nesse site: http://www.internetamiga.com.br/avisos o programa em questão é universal e pode ser baixado por qualquer um. funciona com windows xp, vista e 7 e com os navegadores firefox, internet explorer e outros.

os créditos desse programa vão pro Woshman. foi ele quem fez e ficou como boa alternativa gratuita pra resolver essa questão.

antes de instalar o programa no cliente, entre no webadmin do seu bfw e vá em Configurações / Sistema / Webadmin / Configurações e digite o IP correto do seu servidor e clique em salvar, depois clique em renovar.
Imagem

pronto. resolvido. mas o programa tem q ser baixado pelo seu cliente e instalado uma única vez no pc dele. esse programa pode ficar no seu site pra q seu cliente baixe e instale. esse procedimento é simples pra nós, mas pros clientes q nem sabem o q é um e-mail, isso pode se tornar uma tarefa árdua. :lol:

- Criar e instalar um certificado válido no servidor. essa é outra forma de acabar com os avisos nos navegadores dos clientes e agregar mais valor, confiança e segurança ao seu servidor bfw. geralmente um certificado válido não se consegue de graça. mas existe um site q gera certificados gratuitos pra quem tem um domínio válido registrado. é o site https://www.startssl.com da StartCom. me parece q é o único atualmente q dá certificados mais simples de graça. se souberem de mais algum site q forneça certificados ssl gratuitos de verdade nos avise aqui no fórum. por enquanto só sei da startcom.

o engraçado é q quando entrei no tradutor do google com a palavra startcom o resultado da tradução foi RedHat. rsrsrsrs com isso se deduz na hora o envolvimento da empresa RedHat com a StartCom. achei super legal o site deles e pra logar la usamos um certificado digital q criamos no inicio do cadastro. eles tem certificados mais avançados a venda e o certificado básico e gratuito deles foi reconhecido somente pelo internet explorer :-x ,mas já quebra uma galhão. tem um ditado que diz: "cavalo dado não se olha os dentes." pra conseguir um certificado gratuito com eles basta seguir as instruções do site, após seu cadastro.

um certificado válido geralmente tem validade de um ano e vc tem q ter um domínio válido (www.fulano.com) registrado, além de um email webmaster desse domínio (webmaster@fulano.com) para conseguir gerar um certificado para seu site ou servidor bfw. o site da startcom dá um arquivo .key e um arquivo .crt , assim, com seu certificado em mãos, vamos a instalação:

obs.: o bfw trabalha em cima do arquivo brazilfw_ssl.pem e os demais arquivos brazilfw_ssl.key e brazilfw_ssl.crt precisam estar presentes no diretório /cert e seus nomes não podem ser diferentes disso. vc ficará sem webadmin caso saia algo errado. :o!

- copie os dois arquivos gerados pela startcom (.key e .crt) pro seu diretório /etc/brazilfw/cert ...pode ser via winSCP. para não dar confusão, depois apague (ou faça backup) os três arquivos originais q estão dentro do diretório /cert . (os q citei acima: .crt , .key e o .pem) ...agora com os dois arquivos da startcom copiados, renomeie eles pra brazilfw_ssl.key e brazilfw_ssl.crt pra irmos ao próximo passo e gerar um novo arquivo .pem !

...no terminal:
-
Código: Selecionar todos
cd /etc/brazilfw/cert
cat brazilfw_ssl.key brazilfw_ssl.crt > brazilfw_ssl.pem
chmod 0600 brazilfw_ssl.pem
/usr/local/sbin/openssl rsa -in brazilfw_ssl.key -out no.brazilfw_ssl.key
cat no.brazilfw_ssl.key brazilfw_ssl.crt > brazilfw_ssl.pem
backup
reboot

...em resumo: um CAT, um CHMOD, um OPENSSL, um CAT de novo e um BACKUP. quem souber recarregar o lighttpd pra não precisar do reboot fique a vontade.
Imagem
pronto, certificado instalado. vc pode estar se perguntando com esse print, porque o erro de certificado logo acima, no internet explorer... isso foi por causa do "emitido para" www.fulano.com... deveria ter sido emitido pro IP do seu servidor, ok? (192.168.0.1) a questão aqui é q praticamente todas a empresas só geram certificado pra domínio válido, como já comentei aqui. a única q gera certificado pra IP é a comodo BR. vide print no início do tópico.

eu entrei em discussão com várias empresas q vendem certificados e não teve jeito. quase todas só emitem certificados pra domínio e não pra IP.
acho q isso é por medida de segurança e tal... mas perguntei o seguinte pra muitas dessas empresas: "como eu com um servidor em uma intranet ,em uma rede privada, vou ter um domínio válido pra vc gerar meu certificado???" ...infelizmente isso não foi argumento suficiente pra eles me venderem um certificado pra IP. falei q era pra uso privado com meus clientes, etc... a única saída é a comodo BR. se alguém souber de outra empresa q faça certificados pra IP, avisa pra gente. :o!

um certificado da VeriSign pode custar cerca de 1.500,00 reais anual. um da radipssl custa 89,00 e já achei certificados de até 65,00 anual. preço ótimo, mas não geram pra IP nem de baixo de paulada. >|

por uma incrível coincidência, o google resolveu colocar no ar sua busca em HTTPS, usando um certificado ssl de 128 bits homologado por eles e expedido dia 19/01/2012, válido até 2013. percebi isso hoje (31/01/2012) e agora vejo q as buscas não entrarão mais no cache do squid, caso alguém digite https na barra de endereços. :-x
Imagem

- comprando e instalando um certificado válido no bfw...
como já disse, só achei a comodoBR q faz certificados pra IP e é pra IP q precisamos nos nossos servidores se for pra uso com o sapw e com o webadmin.

a comodoBR tem um certificado trial q é válido por 30 dias e pode ser adquirido por qualquer pessoa pra fins de testes no servidor e extinção de dúvidas antes da compra do certificado final, com duração de um ano.

na compra de qualquer certificado ou no teste de qualquer certificado trial, com qualquer empresa q os vendem vc precisará, antes de qualquer coisa, gerar o CSR do seu servidor BFW.
o arquivo com extensão .csr contém informações particulares suas e do seu servidor e seu conteúdo deve ser informado depois, no início do cadastro com a empresa de sua escolha.

gerando o CSR (Certificate Signing Request):

Código: Selecionar todos
cd /etc/brazilfw/cert
/usr/local/sbin/openssl genrsa -out 192.168.0.1.key 2048
/usr/local/sbin/openssl req -new -key 192.168.0.1.key -out 192.168.0.1.csr


observem q vc´s devem colocar o IP do servidor de vc´s no lugar do 192.168.0.1 ,ok?

no segundo comando, respondam as perguntas:

    Country Name: BR

    State or Province Name: Seu estado por extenso e sem abreviações.

    Locality Name: Sua cidade.

    Organization: Nome oficial da empresa, igual ao existente no cartão do CNPJ.

    Organizational Unit: Departamento ou setor da empresa.

    Common Name: url onde o certificado vai ser utilizado. no meu caso informei o IP do meu servidor aqui.

    Email Address: Não informe nada, deixe em branco.

    A challenge password: Não informe nada, deixe em branco.

    An optional company name: Não informe nada, deixe em branco.

pronto. o CSR foi criado e armazenado no arquivo 192.168.0.1.csr, copie o seu conteúdo e cole no formulário de pedido do certificado digital. quando for perguntado qual o seu servidor web responda WHM/cPanel. isso, já q não consta BFW 3 na lista.

após consulta e avaliação feita pela empresa de sua preferência, seu certificado será emitido e enviado a vc.
a forma de instalar o certificado pode variar de empresa pra empresa, assim como a entrega do certificado. agora vou passar como instalar o certificado trial da comodoBR q é de forma parecida com a instalação do certificado da StartCom.

a comodoBR envia dois arquivos. um arquivo com extensão .crt (serve pra criar o novo .pem) e outro arquivo com extensão .ca-bundle (certificado intermediário). o arquivo .key vc usa o que foi gerado por vc, na hora de criar o seu CSR.

o arquivo com extensão .pem (o mais importante) deve ser criado seguindo as instruções da dica desse tutorial. passo a passo e os comandos via terminal.

agora é o seguinte: renomeie o arquivo .key q vc gerou pra brazilfw_ssl.key e o arquivo .crt (certificado final entregue pela comodo) agora só servirá pra criar o seu arquivo .pem ...depois de criar o .pem seguindo as instruções da 2ª dica, pode apagar (ou fazer backup) esse arquivo .crt .

o arquivo com extensão .ca-bundle deverá ser renomeado pra brazilfw_ssl.crt , finalizando assim a instalação.

obs.: a diferença aqui é q vc tem q gerar o seu .csr , vc usa o seu .key e o arquivo com extensão .ca-bundle vc renomeia pra brazilfw_ssl.crt , descartando o .crt entregue pela comodo. ... a criação do arquivo .pem é feita da mesma forma q é feita a da StartCom (na 2ª dica).

relembrando: temos q ter um brazilfw_ssl.key , um brazilfw_ssl.crt e um brazilfw_ssl.pem no diretório /cert . :o!

depois de dar backup, recarregar o serviço ou reiniciar o servidor, faça o teste nos navegadores e veja se o certificado foi instalado.

gostei das informações do google chrome 16.0 . são bem detalhadas.
Imagem

outro print...
http://img811.imageshack.us/img811/6256/certl.png
e outro:
http://img204.imageshack.us/img204/4292/cert2.png

caso queira remover o certificado instalado agora pelo original do bfw, basta seguir a primeira dica desse tutorial, usando a opção renovar no webadmin.

créditos ao Wosh por essa dica:
http://www.rapidssl.com.br/certificado-digital/apache-ssl.php
e essa:
http://www.cyberciti.biz/tips/how-to-install-ssl-lighttpd-https-configuration.html
me matei aqui pra traduzir isso e adaptar os comandos ao bfw, mas isso é questão de costume. agora faço em menos tempo!

passei o site israelense da StartCom (http://www.startssl.com) pro wosh e ele instalou um certificado ssl válido no bfw dele em menos de 10 minutos! :lol:
na hora fiquei meio doido aqui me perguntando "como pode isso???" mas é questão de costume mesmo.

um detalhe é q quando a barra do navegador fica verde é sinal de maior segurança e tb sinal de certificado mais caro. a barra do navegador azul significa q o certificado é bom, confiável ou q vc adicionou uma excessão de segurança.
Imagem

tutorial editado e finalizado em 03/02/2012.
por favor ignorem instruções anteriores a essa data.


um abraço a todos,
:o!
Avatar do usuário
goodposting
BFW Beneméritos
 
Mensagens: 1623
Registrado em: Qua Jan 04, 2006 11:53 pm
Localização: ES - Brasil
BrazilFW Box: Phenom X-6 1100T, 32GB DDR3 kingston, 480 GB SSD Corsair sata 3, ECS Black series A890gxma, 7 ETH's gigabit, fonte corsair 500w - BFW 261 64 bits = Squid nativo, QoS, Ip x mac, Subredes e EPM 2.0

Voltar para BrazilFW 3.x

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 6 visitantes

cron