Pular para o conteúdo principal

Configurar certificado auto assinado para o erwin Mart Portal

Edvaldo F. dos Santos
Atualizado

Certificados auto assinados só são confiáveis se forem explicitamente adicionados ao repositório de autoridades confiáveis do sistema ou da aplicação. Sem isso, o cliente (neste caso, o Erwin Data Modeler) rejeita o certificado porque não pode verificar sua autenticidade.

A seguir estão os passos detalhados e os comandos para gerar o conjunto completo de certificados auto assinados, garantindo que você inclua um certificado raiz (CA), um certificado de servidor e as respectivas chaves. Isso resolve o problema de conexão entre o servidor do erwin Mart Portal e a aplicação Erwin Data Modeler ao importar o certificado raiz para confiabilidade.

 

Passo 1: Gerar um certificado raiz (CA)

1. Gerar a chave privada do CA:

openssl genrsa -out ca-key.pem 4096

2. Criar o certificado raiz auto assinado:

openssl req -x509 -new -nodes -key ca-key.pem -sha256 -days 3650 -out ca-cert.pem -subj "/C=BR/ST=Sao Paulo/L=Sao Paulo/O=SuaEmpresa/OU=IT Department/CN=Certificado Raiz"

Substitua os campos conforme necessário:

  • /C=BR → Código do país.
  • /ST=Sao Paulo → Estado.
  • /L=Sao Paulo → Cidade.
  • /O=SuaEmpresa → Nome da sua empresa.
  • /OU=IT Department → Departamento.
  • /CN=Certificado Raiz → Nome descritivo para o certificado raiz.

Passo 2: Gerar o certificado para o servidor

1. Gerar a chave privada do servidor:

openssl genrsa -out server-key.pem 2048

2. Criar uma requisição de assinatura de certificado (CSR):

openssl req -new -key server-key.pem -out server-csr.pem -subj "/C=BR/ST=Sao Paulo/L=Sao Paulo/O=SuaEmpresa/OU=IT Department/CN=mart.dacorp.net.br"
  • Aqui, o CN (Common Name) deve corresponder ao domínio ou hostname que será usado para acessar o servidor (exemplo: mart.dacorp.net.br).
  • Substitua os campos conforme necessário:
    • /C=BR → Código do país.
    • /ST=Sao Paulo → Estado.
    • /L=Sao Paulo → Cidade.
    • /O=SuaEmpresa → Nome da sua empresa.
    • /OU=IT Department → Departamento.
    • /CN=Certificado Raiz → Nome descritivo para o certificado raiz.

3. Criar um arquivo de configuração para Subject Alternative Names (SAN): Crie um arquivo chamado san.cnf com o seguinte conteúdo:

[ v3_req ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = mart.dacorp.net.br
DNS.2 = hostname_do_servidor

4. Assinar o certificado com o CA:

openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365 -sha256 -extfile san.cnf -extensions v3_req

 

Passo 3: Validar os certificados gerados

1. Validar o certificado do servidor:

openssl x509 -in server-cert.pem -text -noout | grep -A 1 "Subject Alternative Name"

O resultado deve exibir os domínios no SAN:

X509v3 Subject Alternative Name:
DNS:mart.dacorp.net.br, DNS:hostname_do_servidor

2. Verificar se o certificado está assinado pelo CA:

openssl verify -CAfile ca-cert.pem server-cert.pem

O resultado esperado é:

server-cert.pem: OK

 

Passo 4: Configurar o servidor

1. No servidor Erwin Mart Portal:

Abra o arquivo C:\Program Files\erwin\Mart Portal\Apache\conf\extra\httpd-vhosts.conf

Adicione os arquivos de certificado e chave no servidor:

server-cert.pem → Certificado do servidor.

server-key.pem → Chave privada do servidor.

ca-cert.pem → Certificado do CA (opcional).

 

# Configuração SSL
SSLEngine on
SSLCertificateFile "C:/certificados/server-cert.pem"
SSLCertificateKeyFile "C:/certificados/server-key.pem"

Certifique-se de que o servidor está configurado para usar a porta 443 com os novos arquivos.

<VirtualHost _default_:443>
RequestHeader set X-Forwarded-Port "443"

Abra o arquivo C:\Program Files\erwin\Mart Portal\Apache\conf\httpd.conf e adicione um listen para a porta 443

# Change this to Listen on specific IP addresses as shown below to 
# prevent Apache from glomming onto all bound IP addresses.
#
#Listen 12.34.56.78:80
Listen 18170
Listen 443

 

Passo 5: Importar o certificado CA no cliente

1. Adicionar o certificado CA ao sistema operacional:

  • No Windows, importe o arquivo ca-cert.pem para o repositório de Autoridades de Certificação Raiz Confiáveis.
  • No Linux/Mac, copie o ca-cert.pem para o repositório de certificados e atualize:
sudo cp ca-cert.pem /usr/local/share/ca-certificates/ 
sudo update-ca-certificates

 

Resultado esperado

  • O certificado auto assinado será confiável, pois o cliente (Erwin Data Modeler) agora reconhece o CA que assinou o certificado do servidor.
  • A conexão com o servidor deve funcionar sem erros.

Comentários

0 comentário

Por favor, entre para comentar.

Powered by Zendesk