Documento: Migração de certificado digital web-server Apache para IIS Autor: Marcelo Carvalho Classificação: Documento externo Data: 13/09/09 Versão: 2.0 proc_migracao_apache_iis.pdf Migração de Certificado Digital (Servidor Apache para Microsoft IIS) 1
Objetivo... 3 Aplicabilidade... 3 Exportação do Certificado Digital... 4 Importação do Certificado Digital... 4 Configuração IIS... 6 2
Objetivo Neste documento, descreve-se o procedimento de migração de certificado digital previamente instalado em servidor Apache para servidor Microsoft IIS. Aplicabilidade Servidores Web IIS Microsoft e Apache (Linux e Windows). Obs. Outras versões de IIS deste webserver podem ter caminhos ou telas diferenciados para acesso às mesmas configurações aqui descritas. Acesse o manual do produto para adequação ou contate nosso suporte técnico suporte@. 3
Exportação do Certificado Digital O procedimento a seguir sugere uma forma de exportação do certificado digital e chave privada utilizando o OpenSSL. Para versões Apache que não possuam o OpenSSL consulte manual do fabricante e realize a instalação do mesmo antes de iniciar este procedimento. Procedimento: 1. Localize no arquivo de configuração ( httpd.conf ) de seu apache o apontamento para os arquivos de chave privada e do certificado digital que se deseja migrar. Outro arquivo que pode opcionalmente ser incluído na exportação do certificado digital a ser migrado é o arquivo root de sua cadeia de validação. Neste caso, localize também a sua referência no arquivo de configuração do Apache. 2. No prompt do OpenSSL, realize o comando de exportação conforme demonstrado abaixo referenciando os locais dos arquivos mencionados acima: openssl pkcs12 -export -out <nome do arquivo a ser gerado>.pfx -inkey <sua chave privada>.key -in <seu certificado>.crt -certfile <arquivo root>.crt Importação do Certificado Digital O procedimento a seguir sugere uma forma de importação utilizando o snap-in de certificados, proveniente das ferramentas administrativas do servidor Windows com Microsoft IIS que receberá o certificado digital exportado. O procedimento de importação pode ser realizado em duas etapas, caso o certificado root não tenha sido incluído no processo de exportação para o arquivo.pfx gerado. Neste caso, referencie o procedimento de instalação do certificado root separadamente em: https://www./procedimentos/ias_brasil_procedure_iis.zip Procedimento: Na tela do openssl utilize os seguintes comandos: 1. No Servidor onde foi instalado o Certificado Digital, clique em Start > Run. Digite mmc e clique em OK. 2. Na janela do console aberta, (Microsoft Management Console (MMC)), clique no menu File, e Add/Remove Snap-in. 3. Clique em Add para adicionar e em seguida na lista de snap-ins, selecione Certificates, e clique em Add. 4. Selecione "Computer account" e clique em Next. 5. Selecione Local computer, e clique em Finish. 4
6. Clique em Close e em seguida em OK. 7. Abra Certificates (Local Computer), e selecione Personal > Certificates. Será exibido o Common Name (CN) do Certificado. Botão-Direito no certificado, All Tasks > Import. O "Certificate Import Wizard" irá abrir. Clique em avançar. 8. Clique em Browse e localize o arquivo exportado (.pfx) anteriormente, selecione o arquivo e de Ok. 9. Caso uma senha de proteção tenha sido inserida no procedimento de exportação, repita a mesma e selecione o local de instalação: Personal. Clique em next. 5
Configuração IIS O procedimento a seguir sugere uma forma de atribuição do certificado digital instalado (migrado) para ser utilizado por um site dentro do IIS. Procedimento: 1. Abra o IIS, clique com o botão direito no site onde quer instalar o certificado. Abra Properties, e clique na aba Directory Security. Depois clique em Server Certificate. 2. Será aberto uma tela de Wizard, clique em avançar. Na tela de Certificado de servidor marque a opção Assign using an existing certificate. Depois clique em Next. 4. Serão exibidas informações sobre o seu certificado. Clique em Next e depois Finish para concluir o processo. 6