Para o Apache aceitar como válidos todos os certificados emitidos pela Mutlicert, deve instalar no Apache a antiga hierarquia de certificação da Multicert e também a nova.
A nova hierarquia é composta por 2 certificados digitais:
- certificado intermediário MULTICERT Certification Authority 002, disponível aqui
- certificado raiz/root MULTICERT Root Certification Authority 01, disponível aqui.
Faça por favor download dos certificados.
Da antiga cadeia, basta fazer download do certificado intermediário "MULTICERT - Entidade de Certificação 001", que está disponível aqui.
Configurar o Apache
Vejamos agora como configurar o Apache para aceitar as cadeias de certificação que têm no topo o "MULTICERT - Entidade de Certificação 001".
- ir para a pasta em que guardou os certificados digitais de que fez download nos passos anteriores
- criar o ficheiro CAfile.cer, que conterá as duas cadeias; executando os seguintes comandos
-
cat MCRootCA.cer >> CAfile.cer
-
cat mca_001_2.cer >> CAfile.cer
-
cat mca_002_2.cer >> CAfile.cer
- o diretório e o nome do ficheiro de configuração variam de servidor para servidor, dependendo do tipo da interface utilizada para a administração do servidor. É necessário editar o ficheiro de configuração do Apache:
- o ficheiro de configuração habitualmente tem o nome de http.conf ou apache2.conf e está localizado em /etc/httpd/ ou /etc/apache2/ . Se não conseguir encontrá-lo, poderá ser pesquisado, usando o comando grep -i -r "SSLCertificateFile" /etc/httpd/
- editar a secção <VirtualHost> do site que estamos a configurar
<VirtualHost 192.168.0.1:443>
DocumentRoot /var/www/html2
ServerName www.exemplo.com
SSLEngine on
SSLCertificateFile /path/to/MTCXXXXXXXXX.cer
SSLCertificateKeyFile /path/to/chavepriv_certificado.key
SSLCertificateChainFile /path/to/Chainfile.cer
SSLCACertificateFile /path/to/CAfile.cer
</VirtualHost>
- na secção acima apresentada
- na linha SSLCertificateFile deve inserir-se o caminho para o certificado folha, o que adquiriram
- na linha SSLCertificateKeyFile deve inserir-se o caminho para a chave privada que gerou associada ao .csr que enviou para a Multicert, aquando da emissão do vosso certificado digital
- na linha SSLCertificateChainFile deve inserir-se o caminho para a cadeia de certificação do certificado SSL do site que está a ser configurado
- na linha SSLCACertificateFile deve inserir-se o caminho para o ficheiro CAfile.cer criado nos passos anteriores
Testar a configuração realizada
Recomendamos testar primeiro a configuração antes de reiniciar o servidor Apache, por forma a validar eventuais erros de configuração.
Digite o seguinte comando:
apachectl configtest
Reiniciar o Apache
Digitar os seguintes comandos:
apachectl stop
apachectl start
Após o servidor reiniciar, a nova cadeia de certificação da Multicert deverá estar instalado com sucesso.
Recomendamos que execute primeiros estes passos num servidor de testes, para validar que a configuração efetuada não impacta negativamente nenhum serviço de produção!