Migrando o Certificado SSL do Microsoft IIS 6.0 para o Apache

Para mover um certificado SSL do IIS 6.0 para Apache, é necessário primeiro exportar o certificado do IIS e em seguida convertê-lo para o formato que o Apache compreende.

  • Etapa 1: Exportar Certificado SSL do IIS 6.0

    1. Para exportar o certificado acesse o console de administração do Microsoft Internet Information Services, e em seguida acesse a pasta "Administrative Tools" (Ferramentas administrativas) e escolha a opção "Internet Services Manager".

    2. Clique com o botão direito no site onde se encontra instalado o certificado,  e em seguida  clique na opção "Properties" (Propriedades).

    3. Na janela "Properties" (Propriedades), clique na aba "Directory Security" (Segurança de pasta).

    4. Na sessão "Secure communications" (Segurança da comunicação), clique no botão "View certificate" (Exibir certificado).

    5. Na janela "Certificate" (Certificado), clique na aba "Details" (Detalhes). Ao final da aba "Details" (Detalhes) clique no botão "Copy to file" (Copiar para arquivo).

    6. Um assistente para exportação será exibido. Na primeira etapa, clique no botão "Next" (Avançar).

    7. Na segunda etapa, selecione a opção "Yes, I want to export the private key" (Sim, eu quero exportar a chave privada). Clique no botão "Next" (Avançar);

    8. Na terceira etapa, o usuário deverá selecionar as opções "Include all the certificates in the certification path" (Incluir todos os certificados no caminho de certificação) e "Enable the strong protection" (Ativar proteção de alta segurança). Clique no botão "Next" (Avançar).

    9. Na quarta etapa, o usuário deverá criar e confirmar uma senha para a cópia de segurança. Após digitá-la e confirmá-la, clique no botão "Next" (Avançar).

    Atenção: Não possuímos acesso a esta senha, portanto guarde-a de forma segura. Caso perca esta senha não será possível recuperar este cópia de segurança que está sendo gerada.

    10. Na penúltima etapa, clique no botão "Browser" (Procurar). Especifique um nome e um local para salvar a cópia de segurança.

    Dica: É extremamente aconselhável que armazene esta cópia de segurança em um local fora do servidor que está hospedado o seu site.

    11. Após definir um local e um nome para o arquivo, clique no botão "Save" (Salvar). O assistente será exibido, desta vez com o nome e o caminho do arquivo. Clique no botão "Next" (Avançar).

    12. Ao final, o assistente para exportação exibirá as opções selecionadas. Clique em "Finish" (Concluir).

    13. Uma janela informará que "The export has sucefully" (A exportação obteve êxito).

  • Etapa 2 : Extraindo a Chave privada e o Certificado do Servidor Apache

    Para esta etapa você deve utilizar o software OpenSSL:

    1. Copie o arquivo .pfx ou.p12 para o mesmo local onde está instalado o OpenSSL (ou especifique a localização via linha de comando)

    2. Digite o comando no diretório onde está instalado o OpenSSLopenssl pkcs12 -in <Nome_do_Arquivo_Exportado_no_IIS.pfx>

    3. O OpenSSL solicitará que o usuário digite a senha da cópia de segurança criada no IIS:

    Enter Import Password:

    MAC verified OK

    4. Em seguida, o OpenSSL solicitará que o usuário crie uma senha para utilização da chave privada e que confirme-a.

    Enter PEM pass phrase: (digite 4 caracteres)

    Verifying - Enter PEM pass phrase: (repita os 4 caracteres)

    5. A chave pública e privada do certificado digital será exibida conforme o exemplo abaixo:

    -----BEGIN RSA PRIVATE KEY-----

    Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,D8C9F7994FC914ED

    WN/ZSInsoUNnJQ/WQoORaZDq+WmxMb5WFQ1QgB8BVt2ESLECVBdWXZ9y4zV0gfM8
    SeY1laaoxpU1Cqlb1sw9HpiW90akvFcF8eMSZbwk2RLnUWi3WUTK4gVwMHaxs809
    JSmn/jAECChgOk4NNsw/oLILyeIGtK7LX4aWSf2vRcqOjAXeT5S1UnoIQkwMNBOq
    9J3s3JI0a/C95FhWeBhxfO0c9cFHOX/vgGTlJnDpQQguTR2zNY57jlrfj62pi3Wf
    RFjxJShGwbNu6wW4NF+NQOJxIVqbFmT9V7mgMQXgH8UKBY9GatD7cD8xebMmthzZ
    L6Ou6JlsSh4+G2/tB+xthx6G6YF/0HXfZe2oAtw/l4Sd0200ludden2jOw//NVg2
    XAJZY2Qz1Q+aBUaWfHhSFLTwlbKkxSPP12MNujhcCLPJrCi68lHdrH2yTUvt1Euy
    pn9nVLTBSTjCQ914y+vxgb/ERCCuguM0ss70YAr38Rh9Bj1k657QSNNSlqB00tjY
    /3BkRDIU0U/2Kc67BIIeGGxe15EXYGPJwfNNVARrzSuTrB0hvdYXy9jfG8qaKcIs
    y9whNFLlC0RxPH30JGhnX0FX+B6A9ax32vdpzFME3Wa8AxCLFleAMQ==
    -----END RSA PRIVATE KEY-----
    Bag Attributes
         localKeyID: 01 00 00 00
         friendlyName: suporte
    subject=/C=BR/ST=Rio de Janeiro/L=Rio de Janeiro/O=CertiSign/OU=Suporte/CN=supor
    te.certisign.com.br
    issuer=/O=VeriSign, Inc/OU=www.verisign.com/repository/TestCPS Incorp.
    By Ref. L
    iab. LTD./OU=For VeriSign authorized testing only. No assurances (C)VS1997
    -----BEGIN CERTIFICATE-----
    MIID1zCCA4GgAwIBAgIQU1Z6xaCtOv+ys/qWVCY/SDANBgkqhkiG9w0BAQUFADCB
    qTEWMBQGA1UEChMNVmVyaVNpZ24sIEluYzFHMEUGA1UECxM+d3d3LnZlcmlzaWdu
    LmNvbS9yZXBvc2l0b3J5L1Rlc3RDUFMgSW5jb3JwLiBCeSBSZWYuIExpYWIuIExU
    RC4xRjBEBgNVBAsTPUZvciBWZXJpU2lnbiBhdXRob3JpemVkIHRlc3Rpbmcgb25s
    BwEBMIGOMCgGCCsGAQUFBwIBFhxodHRwczovL3d3dy52ZXJpc2lnbi5jb20vQ1BT
    MGIGCCsGAQUFBwICMFYwFRYOVmVyaVNpZ24sIEluYy4wAwIBARo9VmVyaVNpZ24n
    cyBDUFMgaW5jb3JwLiBieSByZWZlcmVuY2UgbGlhYi4gbHRkLiAoYyk5NyBWZXJp
    U2lnbjAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwNAYIKwYBBQUHAQEE
    KDAmMCQGCCsGAQUFBzABhhhodHRwOi8vb2NzcC52ZXJpc2lnbi5jb20wDQYJKoZI
    hvcNAQEFBQADQQBJplHwDkzb4lbLWEG/sou4kc9ZZMfn/djbimVzGySTYmuCK/sA
    6IFE4tgUNhTblkjihCs7rsLf5dPPibv1OsVA
    -----END CERTIFICATE-----

    6. O próximo passo é copiar a chave privada do certificado. A chave privada do certificado começa desde a linha -----BEGIN RSA PRIVATE KEY----- e termina com a linha -----END RSA PRIVATE KEY-----

    7. Cole as linhas em um arquivo do bloco de notas e salve o arquivo com a extensão .key (ex. chaveprivada.key). Não utilize o Microsoft Word ou outro programa de processamento de textos, pois eles podem acrescentar caracteres ocultos ao arquivo de texto.

    8. A seguir, copie o certificado que começa desde a linha -----BEGIN CERTIFICATE----- e termina com a linha -----END CERTIFICATE-----. Em seguida, cole as linhas em um arquivo do bloco de notas e salve o arquivo com a extensão. crt (ex. certificado.crt).

    Observações: Não deixe espaços ao final de cada linha e após a última linha.

  • Etapa 4: Download da AC Intermediária

    Para realizar o download do certificado adequado da AC Intermediária, siga os seguintes passos:

    1. Clique aqui para efetuar o download, e em selecione o produto adquirido;

    Atenção: Quando baixar o certificado da AC, assegure-se de ter selecionado o certificado correspondente ao produto adquirido.

    Se você não tem certeza do produto adquirido, siga os passos abaixo:
    a. Acesse: https://digitalid.certisign.com.br/global/services/globalserver/search.htm
    b.Informe common name do certificado no campo Certificados de Servidor Web e clique no botão OK.
    c.Clique sobre o seu certificado e veja as informações sobre ele inclusive o nome do produto.

    2.Salve o arquivo do certificado como intermediate.crt no diretório do servidor SSL;

    Por exemplo: /etc/apache2/ssl.crt/ intermediate.crt
    O conteúdo do arquivo deve estar no seguinte formato:
    -----BEGIN CERTIFICATE-----
    [dados codificados]
    -----END CERTIFICATE-----
  • Etapa 5: Instalando o Certificado no Apache

    Abra o seu arquivo httpd.conf, localize e modifique as seguintes diretivas:

    1. SSLCertificateFile /etc/ssl/crt/public.crt -> Especifique o arquivo que contém o certificado do seu servidor web

    2. SSLCertificateKeyFile /etc/ssl/crt/private.key -> Especifique o arquivo que contém seu par de chaves, criado juntamente com a sua CSR

    3. SSLCertificateChainFile /etc/ssl/crt/intermediate.crt -> Especifique o arquivo que contém o certificado intermediário de CA

    4. Após as novas configurações terem sido alteradas, reinicie seu servidor web.

    apachectl stop

    apachectl startssl

    Para mais informações visite OpenSSL please visit: www.openssl.org