Certificado para Servidor Web ICP-Brasil
Garantindo a segurança de seus servidores.Único certificado para servidor web (SSL/TLS) no âmbito da ICP-Brasil com OCSP (Online Certificate Status Protocol), ou Protocolo On-line de Status de Certificados. Isso significa que apenas a Certisign é capaz de verificar a validade do certificado em tempo real. Já o processo de verificação do status dos certificados emitidos por outras Autoridades Certificadoras ICP-Brasil somente pode ser feito através da LCR (Lista de Certificados Revogados), que é publicada de hora em hora.
FAQ - Problemas e Soluções
1 - Ao acessar o site o usuário recebe um alerta informando que "O certificado expirou ou ainda não é válido". O que fazer? [+]
A mensagem "o certificado expirou ou ainda não é válido" é exibida quando:
a. O navegador do usuário não está atualizado:
O usuário deverá atualizar o sistema operacional. Para maiores informações, consulte a documentação do sistema operacional.
b. O certificado referente ao site expirou:
Providencie a renovação do seu certificado de servidor web. Para maiores informações, entre em contato com o agente de contas da Certisign responsável pela sua emrpesa.
2 - Ao acessar o site o usuário recebem um alerta informando que "Há itens seguros e não seguros nessa página. Deseja prosseguir?". O que fazer? [+]
Esse alerta indica que há links ou marcações HTML na página que não são considerados totalmente seguros, isto é, que estão sendo enviados através do protocolo HTTP. Por exemplo, se na sua página há uma tag
lt;a href=http://www.abc.com/imagename.gif>, o Internet Explorer alertará o usuário que há itens não seguros.
Para maiores informações sobre as causas e possíveis soluções, acesse uma das URLs abaixo:
http://support.microsoft.com/support/kb/articles/Q154/6/21.asp
http://support.microsoft.com/support/kb/articles/Q179/5/92.ASP
3 - Ao instalar um novo certificado no IIS 4.0 foi exibida a mensagem: "Private key mismatch error - extra OU field in issued cert" (Chave privativa não corresponde - excesso de dados no campo OU do certificado emitido). O que fazer? [+]
O campo OU excedente acrescentado pela Certisign não afeta na instalação do certificado, pois não altera os arquivos de algoritmo associados ao seu par de chaves. Os motivos desta mensagem estão descritos abaixo:
* A chave foi criada, mas você NÃO saiu do gerenciador de chaves (key manager) para confirmar todas as modificações e a CSR foi enviada a Certisign;
* A chave foi criada, você saiu do gerenciador de chaves (key manager) e NÃO confirmou todas as modificações. Você acaba de perder a "Chave Privada" e o CSR foi enviado a Certisign;
* A chave foi criada, as modificações confirmadas e o CSR enviado a Certisign. Entretanto, antes do certificado ter sido emitido pela Certisign, o ícone foi eliminado (acidentalmente, por problemas com o disco rígido, etc...) e um NOVO CSR foi criado. Ainda que as mesmas informações sejam usadas no novo pedido de certificado, o CSR originalmente enviado a Certisign NÃO corresponde exatamente à chave que você acaba de criar;
* Você tem mais de um ícone no gerenciador de chaves (key manager) e escolheu o ícone errado.
4 - Ao acessar um site via HTTPS aparece uma mensagem indicando que o certificado emitido para outro site. Por quê? [+]
Esse erro poderá ocorrer quando o servidor está hospedando mais de um site seguro.
Certifique-se de atribuir (nas configurações do servidor) um endereço IP diferente para cada host.
O SSL não suporta a hospedagem virtual baseada no nome (os cabeçalhos de host são criptografados em SSL), de modo que apenas o primeiro certificado listado no seu arquivo de configuração será apresentado.
Este problema ocorre, pois para estabelecerem uma conexão SSL, os certificados digitais para servidores utilizam a porta SSL padrão 443.
No caso de um servidor quem contêm vários certificados, cada um destes certificados precisa estar atrelado a uma porta SSL diferente da porta default.
Por exemplo, se você contem um certificado emitido para www.abc.com.br na porta 443 e possui também outro certificado emitido para www.xyz.com.br, este último deverá estar configurado para usar a porta 444.
Quando o cliente tentar acessar o site www.xyz.com.br, digitando https://www.xyz.com.br, o navegador informará que a página não pode ser exibida.
Isto ocorre porque o navegador entende que ao digitar https:// o usuário deseja se conectar aquele site através da porta 443 e, conseqüentemente, carregará o certificado referente a porta 443. No seu caso, o certificado existe, no entanto, ele está "atrelado" à porta 444, por exemplo.
Para que seja resolvido este problema, existem duas opções a serem seguidas e que deverão ser previamente analisadas.
Uma espécie de redirecionamento (feito através de alguma aplicação de servidor) que possibilite ao navegador entender que toda requisição para o certificado atrelada à porta 444 deva ser aberta na porta 444.
A outra opção consiste em um script de redirecionamento, para que ele force uma seção SSL com o seu servidor. (ex. https://www.xyz.com.br:444)
Para maiores informações, consulte a documentação do fabricante do software.
5 - Não estou conseguindo efetuar a solicitação de renovação do certificado de servidor web através da página. O que está ocorrendo? Nota: Utilizei a opção "renew" (renovar) no IIS 5.0 [+]
O Internet Information Services 5, possuí um bug ao gerar uma chave utilizando-se a opção de “Renew” (Renovar). O IIS não consegue concatenar corretamente os bits contidos na chave que foi gerada.
Para solucionar tal problema aplique as correções e atualizações disponíveis pela Microsoft através do Windows Update ou crie um novo site (site fantasma) no servidor web. Através do Site Fantasma, gere uma nova CSR e envie-a a CeritSign.
Ao receber o arquivo de resposta, instale-o no Site Fantasma e, em seguida, substitua o certificado no site de produção.
