Certificados

O portal local suporta 3 modalidades de certificados:

  • AutoAssinado

  • Customizado

  • Automatizado com Let’s Encrypt

O certificado será utilizado para certificar os 3 DNSs utilizados pelo portal

Por padrão o certificado AutoAssinado é utilizado, mas isso pode ser customizado durante a instalação do ambiente

Características dos certificado:

Tipo

Requisitos

Características

Contras

AutoAssinado

  • Nenhum

  • Certificadora raiz está no próprio servidor Linux.

  • Certificado renovado automaticamente a cada 12 meses

  • Certificado raiz deve ser importada manualmente em todas as estações, ou em AD

Customizado

  • Domínio próprio

  • IP externo fixo

  • Certificado próprio

  • Cliente deve prover os arquivos de certificado (certificado, chave e senha)

  • Renovação do certificado é de responsabilidade do cliente

  • O Certificado deve ser comprado

  • Certificado deve ser manualmente atualizado quando expirar

Automatizado com Let’s Encrypt

  • Domínio próprio

  • IP externo fixo

  • Email para cadastro no Let’s Encrypt

  • Certificado gerado com a certificadora Let’s Encrypt

  • Certificado renovado automaticamente a cada 3 meses

  • Nenhum

Certificado AutoAssinado

O certificado AutoAssinado é o utilizado por padrão.

Nessa modalidade, é criada uma entidade certificadora no próprio servidor linux, que irá provisionar os certificados para os DNSs do portal.

Esse certificado tem validade de 12 meses, e será renovado automaticamente.

Como a entidade certificadora raiz está no próprio servidor linux o seu certificado (ca-cert.crt) deve ser identificado como um certificado válido por todas as estações de trabalho que irão utilizar o Korp, ou o portal local.

Importando o certificado AutoAssinado

Após a instalação do ambiente, o certificado da CA pode ser obtido copiando o arquivo ca-cert.crt que está disponível na home do usuário que foi disponibilizado para instalação no servidor Linux.

Há duas opções disponíveis para a importação da CA:

  • O cliente tem AD e disponibiliza a CA via política

  • O cliente importa manualmente em cada estação de trabalho a CA via o comando certutil.exe -addstore root C:\temp\ca-cert.crt

Note

Após importar a CA, é necessário fechar completamente o navegador e recarregar a página caso a mesma abra sozinha novamente.

Certificado Customizado

Para utilizar o certificado customizado, é necessário:

  • IP externo fixo

  • 3 DNSs apontando para o IP externo da empresa

  • Direcionamento interno dos DNSs, nas portas 80 e 443, para o servidor Linux

  • Arquivos de certificado válido para os 3 DNSs do portal local

    • Arquivo contendo o certificado (cert.crt)

    • Arquivo chave do certificado (cert.key)

    • Arquivo contendo senha do certificado, caso exista (cert.pass)

Warning

Certificados tem um tempo de expiração, antes do certificado expirar ele deve ser renovado.

Nessa modalidade, a responsabilidade desse processo é do cliente.

Renovando o certificado

  1. Copiar o arquivo cert.crt para o diretório /etc/korp/certs/certs

  2. Executar o script /etc/korp/scripts/certs_reload.sh

  3. Garantir que o script rodou com sucesso

  4. Testar o acesso ao portal local

Certificado Automatizado com Let’s Encrypt

Nessa modalidade, o certificado é gerando utilizando a certificadora Let’s Encrypt, por meio da ferramenta Certbot.

O certificado gerado é validado pelo desafio http-01, e tem validade de 3 meses.

É necessário um email para gerar o certificado por meio do Let’s Encrypt, esse email será utilizado para enviar notificações sobre o certificado.

O renovação do certificado é feita automaticamente quando necessário.

Para utilizar o certificado automatizado, é necessário:

  • IP externo fixo

  • 3 DNSs apontando para o IP externo da empresa

  • Direcionamento interno dos DNSs, nas portas 80 e 443, para o servidor Linux