Solicitando e instalando um novo certificado assinado

Se o seu certificado assinado atual expirar ou estiver prestes a expirar, será possível solicitar um novo certificado assinado a partir de uma autoridade de certificação.

Sobre Esta Tarefa

Nota: Mudar o certificado do sistema muda a confiança que quaisquer servidores de chaves configurados têm no sistema. Reestabeleça a confiança do servidor de chaves no sistema exportando o certificado do sistema para os servidores de chaves.

Na GUI de gerenciamento, selecione Configurações > Segurança > Comunicações seguras, selecione o certificado assinado e preencha o formulário para criar uma solicitação para um certificado assinado para o seu sistema. Depois de receber o certificado da autoridade de certificação, use este painel para instalar o certificado no sistema.

Procedimento

  1. Na interface da linha de comandos, insira o seguinte comando para criar uma nova solicitação de certificado: 
    chsystemcert -mkrequest -keytype ecdsa521 -country GB -state Hampshire -locality Hursley -org MYCO -orgunit Storage -commonname svcsystem1.myco.com -email admin@myco.com
    A solicitação de certificado é gravada automaticamente no /dumps/certificate.csr.

    O navegador Chrome e outros navegadores requerem um Nome alternativo do sujeito, que é uma extensão para o padrão de Internet para certificados de chave pública. A extensão de Nome alternativo do sujeito é usada para corresponder o nome de domínio e o certificado do site e pode ser um endereço de e-mail, um endereço IP, um URI ou um nome DNS. Um certificado pode conter uma coleção desses valores para que o certificado possa ser usado em vários sites.

    Por exemplo, para incluir um nome DNS na extensão Nome Alternativo do Assunto, inclua o parâmetro no comando da CLI chsystemcert: -subjectalternativename "DNS:dns.mysystem.com". Para valores múltiplos, use um delimitador recomendado para separar cada entrada para o parâmetro -subjectalternativename. Os delimitadores podem ser combinados:
    Tabela 1. Delimitadores recomendados
    Nome do delimitador Símbolo Exemplo
    Espaço ( espaço) -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com"
    Vírgula (,) -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com"
    Ponto e vírgula (;) -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com"
    Nova linha (para sistemas operacionais Linux ou UNIX) (\n) -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com"
    Tabulação (para sistemas operacionais Linux ou UNIX) (\t) -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com"
    Retorno de linha (para sistemas operacionais Windows) (\r) -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com"
    Retorno de linha com nova linha (para sistemas operacionais Windows) (\r\n) -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com"
    Para obter mais informações sobre os delimitadores suportados, consulte o comando da CLI chsystemcert.
  2. Use a cópia segura (scp) para copiar o arquivo /dumps/certificate.csr do sistema e enviar este arquivo para uma autoridade de certificação (CA) para ser assinado. A autoridade de certificação retorna um certificado assinado. Após receber o certificado, use a scp para copiar o certificado de volta para o sistema no arquivo /dumps/certificate.cer, em que certificate.cer é o nome do certificado.
  3. Após copiar o certificado para o sistema, insira o comando a seguir para instalar o certificado no sistema.
    chsystemcert -install -file /dumps/certificate.cer