Iniciar uma conversa

Como instalar certificado SSL HTTP próprio para o Cliente Web e demais protocolos?

O Cliente Web da IceWarp já inclui acesso SSL, bastando acessar, por padrão, https://seuhost:32001/webmail, ou sem especificar a porta, caso o serviço Control SSL esteja associado à porta 443.

O certificado incluso no IceWarp Server, entretanto, não está associado ao nome do seu domínio e não é de uma autoridade certificadora root. Você pode até criar seu próprio certificado (Sistemas/Certificados/Criar Certificado SSL), em sintonia com o endereço de acesso (host na URL) do Cliente Web, eliminando erro referente a este aspecto no login, mas o aviso referente a não ser um certificado de autoridade root continuará aparecendo (a não ser que o usuário instale o certificado ao acessar o site).

A IceWarp agora vende certificados de segurança para uso comercial, facilmente instaláveis. Clique aqui para adquirir.

Geração de CSR através do IceWarp Server (método recomendado)

É possível gerar a solicitação de certificado para a autoridade certificadora através do próprio IceWarp Server, em Sistema/Certificados/Certificados do Servidor.

Clique em Criar CSR / Certificado de Servidor... e veja a tela a seguir:



Em bits, especifique 2048. Note o checkbox para Solicitação de Assinatura de Certificado deve estar marcada, bem como em Nome comum (Common name), você precisa especificar o host para o qual está solicitado o certificado. No caso do nosso exemplo, o certificado é referente ao nome comum www.icewarp.com.br.

Note que ao gerar o arquivo de solicitação de certificado (CSR), também estamos criando uma chave privativa. A CSR é salva onde voce especificar bem como no diretório IceWarp\config\_certs\csr junto com a chave privativa .key.

Em seguida, envie o CSR para a autoridade certificadora.

Faça um backup da pasta config/_certs/, pois após efetuar o procedimento completo, os arquivos contidos nessa pasta são apagadados. Note que dentro desta pasta terá o CSR e a chave privativa (.key).

*  Caso esteja instalando um certificado que não exige certificado intermediário (Ex.: adquirido com a IceWarp).

Ao receber o certificado da certificadora, a partir da versao 10.2, basta dar um duplo clique em cima do item de solicitação de certificado que aparece em Sistema/Certificados/Certificados do Servidor. IceWarp solicitará o arquivo de certificado assinado que recebeu da certificadora (.crt). Após selecionar o mesmo, IceWarp automaticamente irá mesclar o certificado recebido com a chave privativa, gerada no mesmo momento em que gerou o CSR e informa onde o certificado final foi salvo (config/_certs/private), bem como se deseja que ele seja usado como padrão.

Em versões anteriores à 10.2, ao receber o certificado da certificadora (chamaremos de certificado.txt), emita o seguinte comando no DOS:

copy privativa.pem + certificado.txt cert.pem

Estamos, portanto, mesclando a chave privativa com o certificado asssinado que recebemos da autoridade certificadora e gerando o arquivo resultante cert.pem.

* Caso esteja instalando um certificado que exige um certificado intermediário

Algumas empresas de certificação (CA), como Comodo, usam um certificado intermediário adicional. Obtenha tal certificado com a autoridade em formato .pem. Nesse caso, faça o pedido do CSR como orientado anteriormente, bem como backup da pasta /config/_certs após enviar o CSR para a autoridade e receber seu certificado, não dê o duplo clique conforme orientação do certificado sem intermediário, ao invés disso, deverá mesclar os 3 certificado manualmente (Privativo, Público assinado recebido da autoridade e Intermediário).

Ex: copy privativa.pem+certificado.txt+intermediario.pem cert.pem

Faça um backup do cert.pem padrão do IceWarp, em icewarp/config. Em seguida, copie o cert.pem novo para a pasta icewarp/config e reinicie o serviço Web (em Sistemas/Serviços botão direito > reiniciar módulo em cima de web).

Caso possua mais de um certificado, siga o mesmo procedimento, entretanto nomeando o certificado com outro nome, como cert2.pem e lembrando de atrelar cada site específico do Servidor Web a um IP específico.

Forma alternativa, gerando request via DOS

Nós fornecemos uma ferramenta que permite criar uma solicitação de CA (Certificate authority, Autoridade de Certificação). Quando a solicitação é criada, você pode enviá-la para a CA para assinatura.

A ferramenta pode ser baixada de: http://www2.icewarp.com.br/downloads/3rd_party_software/icewarp_ssl_v2.zip

Siga estas etapas (também descritas no arquivo readme.htm):

  1. Execute request-ca.cmd e responda às perguntas. "PEM pass phrase" é a senha do seu certificado. "Common Name (e.g., YOUR name)" é o nome do host do servidor de email (geralmente mail.dominio.tld).

Guarda bem os arquivos resultantes, chave privativa (cert.pem) e a solicitação para a autoridade (certificate_request.csr).

  2. Envie o arquivo certificate_request.csr para a CA (Autoridade de Certificação), como por exemplo VeriSign ou Thawte. Uma boa dica também é o site http://www.servertastic.com que traz certificados SSL de baixo custo (RapidSSL) e com ótima compatibilidade, bem como http://www.comodo.com. Ressaltando que são apenas sugestões, não existindo nenhuma relação com a IceWarp.
 
  A CA assinará seu certificado.

  3. Assim que receber o certificado assinado da CA (chamaremos de arq_certif_da_ca.cert), você deverá adicioná-lo à chave privativa. Salve o arquivo recebido da CA no diretório desse utilitário e execute este comando:

copy cert.pem + arq_certif_da_ca.cert cert.pem

O primeiro cert.pem referenciado na linha acima é a chave privativa gerada no passo 1 juntamente com o CSR e o segundo é o novo arquivo que será criado juntando sua chave privativa com o certificado enviado pela certificadora (arq_certif_da_ca.cert).

  4. Mova o arquivo cert.pem para o diretório icewarp/config e reinicie o serviço Web (Sistemas/Serviços/Reiniciar módulo).

OBS: Caso receba erro no log de erros, como SSL initialization Error: SSL_CTX_check_private_key failed, deve indicar que ocorreu um problema com sua chave privada. Considere refazer o processo e contate nosso suporte para obter auxílio.

* Sites úteis de complemento

OpenSSL - http://www.openssl.org/ e clique aqui para obter executável OpenSSL compilado para Windows, que permite converter entre formatos de certificados.

SSL Converter - https://www.sslshopper.com/ssl-converter.html. Site que permite converter entre padrões. Cuidado que, ao usá-lo com chave privativo, por exemplo, acabará por expor a mesma nesse site ao efetuar o procedimento, o que pode trazer algum risco de segurança.

Escolher arquivos ou arraste e solte arquivos
Esse artigo foi útil?
Sim
Não
  1. Flávio Zarur Lucarelli

  2. Publicado
  3. Atualizado

Comentários