Certificate Manager Cookbook
Introdução
Este livro irá explicar da forma simples como gerenciar, solicitar e importar certificados através do senhasegura
A quem se destina este cookbook?
O senhasegura Certificate Manager Cookbook foi escrito para ambientar implantadores, usuários e administradores de sistemas que necessitam solicitar certificados e assinaturas, publicar os certificados em dispositivos e monitorar seu status.
O que você precisa entender antes
Este livro requer que o leitor já tenha tido uma primeira experiência com o senhasegura e possua uma instância da solução com no minímo um dispositivo e uma credencial cadastrados. Antes de continuar a leitura, caso ainda não tenha tido essa primeira experiência, você deveria consultar o seguinte conteúdo:
- Primeira Experiência Cookbook: Esse cookbook explica de forma simples o uso do senhasegura desde a sua instalação até o uso das funções básicas.
Símbolos usados neste cookbook
Este livro usa os seguintes símbolos para destacar informações que devem ser levadas em consideração para o melhor uso de senhasegura :
Info - Informações úteis que podem tornar o uso da solução mais dinâmico.
Caution - Ações e itens que não podem ser ignorados.
commands
: Dados que devem ser inseridos da mesma forma como descrito neste livro.- URLs : Caminhos para acessar páginas da web.
<KEYS>
: Caminhos de teclado que serão usados para realizar ações.
Configurando o seu Certificate Manager
Como mencionado na introdução deste livro, você já deve conhecer as funções básicas do senhasegura para configurar e usar o módulo de Certificate Manager.
Os administradores, usuários e implantadores que pretendem utilizar o Certificate Manager devem possuir também um conhecimento básico sobre o assunto de certificados digitais, assim como nomenclaturas e o uso destes em um sistema.
Para introduzir a maneira como o senhasegura lida com certificados para usuários pouco experientes apresentamos o seguinte problema:
Você, um administrador de sistemas de uma grande empresa, gostaria de ter controle sobre quantos certificados estão publicados na rede, em quais dispositivos e seu período de validade.
Além disso, você precisa solicitar novos certificados e a renovação daqueles estão próximos do seu período de validade.
O senhasegura proporciona uma visão completa dos certificados da organização, realiza a solicitação de novos certificados e a assinatura junto as Autoridades certificadoras. Também envia notificações para os responsáveis pelos certificados quando o tempo de expiração está próximo.
Este capítulo vai focar nas pré-configurações que devem ser realizadas antes de se começar a utilizar este módulo. Siga as instruções das seções a seguir para que o módulo fique pronto para o uso.
Cadastrando ambientes e sistemas
Caso você ainda não tenha cadastrado essas duas entidades é necessário faze-lo, pois sistemas e ambientes são importantes para categorizar e associar um certificado. Siga as instruções para realizar o cadastro, caso já tenha essas entidades cadastradas siga para a próxima sessão.
Acesse o menu: Configurações ➔ Parâmetros do sistema ➔ Segregação ➔ Ambientes.
Use o botão Mais ações do relatório e clique na opção Novo.
Preencha os campos necessários e clique em Salvar para concluir.
Siga para o menu: Configurações ➔ Parâmetros do sistema ➔ Segregação ➔ Sistemas.
Use o botão Mais ações do relatório e clique na opção Novo.
Preencha os campos necessários e clique em Salvar para concluir.
Cadastrando uma organização
A entidade organização é necessário no preenchimento de algumas solicitações feitas neste módulo, então é preciso cadastra-la.
A organização a ser cadastrada é aquela que usará o certificado que será solicitado.
Para inserir ou consultar organizações já presentes no sistema, acesse o menu: Certificados ➔ Configurações ➔ Organizações.
Clique no botão de ação do relatório
Escolha a opção Novo
Preencha o campo Organização com o nome da organização a ser cadastrada
Na unidade organizacional, preencher o campo nome de uma unidade organizacional se houver
Nos outros campos preencha os dados de endereço da organização, como na figura organizacao-ptbr
Clique em Salvar
Criando um grupo de acesso
O módulo Certificate Manager também pode ser configurado com permissionamentos, para certos usuários tenham que inserir justificativas ou aguardar aprovações de suas solicitações.
Antes de aprender como solicitar um certificado ou outras atividades de gerenciamento é pertinente que os grupos de acesso sejam criados para que o permissionamento já esteja adequado e atribuido aos usuários quando o módulo começar a ser usado por estes.
Para criar um grupo de acesso, vá para o menu Certificados ➔ Configurações ➔Grupos de acesso e siga as instruções:
No relatório clique no botão Mais ações.
Escolha a opção Novo
No campo Nome do grupo de acesso, digite um nome para o grupo.
Em seguida, selecione as permissões que o grupo terá como a possibilidade de baixar o certificado ou a chave, a permissão para visualizar a senha do certificado, a permissão para publicar e assinar.
Vá para a guia Critérios e selecione as autoridades de certificadoras para as quais este grupo poderá solicitar assinaturas.
Salve as configurações e aguarde o recarregamento da página.
Então vá para a guia Usuários e selecione através do botão Add os usuários que farão parte deste grupo e assumirão as permissões configuradas.
infoSe o grupo não precisar de aprovação, seu grupo já estará finalizado.
Se você selecionou a opção que este grupo deverá receber uma aprovação para executar alguma atividade, vá para o próximo guia, Aprovadores.
Além da guia usuários, clique em Adicionar para selecionar os usuários aprovadores para este grupo.
cautionLembre-se de que esses usuários aprovadores terão o "poder" de permitir ou negar que as atividades dos membros do grupo sejam executadas ou não, portanto, escolha-as com cuidado.
Após adicionar os aprovadores, se você selecionou aprovação em níveis1, escolha o nível de cada aprovador.
Clique em Salvar para finalizar
Minhas solicitações
Os membros do grupo que precisam de aprovação para suas atividades podem monitorar o status da aprovação solicitada através do menu Minhas solicitações. Acesse: Certificados ➔ Minhas solicitações.
O relatório exibe as solicitações feitas pelo usuário e se elas já foram: aprovadas, ainda pendentes, rejeitadas, expiradas ou canceladas. Para saber mais sobre as solicitações, clique no botão de ação da solicitação.
Minhas aprovações
Os usuários aprovados poderão visualizar um relatório sobre suas aprovações, acessar o menu: Certificados ➔ Minhas aprovações.
Essa tela mostra as aprovações do usuário como estado, solicitante, motivo e validade. Se for uma aprovação pendente, você também pode aprovar ou desaprovar uma solicitação usando os botões Aprovar e Reprovar, respectivamente.
Para visualizar mais informações sobre a solicitação de aprovação:
Clique no botão Detalhes da solicitação.
Nesta tela, você pode visualizar informações adicionais sobre a solicitação, como código, grupo de acesso e justificativa, bem como aprovar ou desaprovar a solicitação pendente, usando os botões Aprovar e desaprovar, respectivamente.
Cadastrando um perfil de publicação
Os perfis de publicação são ideais para tipos de publicações semelhantes e recorrentes.
Imagine que em sua organização exista dezenas de dispositivos Apache onde os certificados devem ser publicados e renovados em seu sistema. Um perfil configurado com o plugin de publicação Apache e com uma lista dos dispositivos onde o perfil terá acesso para publicar tornará o processo muito mais rápido e prático.
Para inserir ou consultar os perfis de publicação já presentes nas senhas, acesse o menu: Certificados ➔ Configurações ➔ Perfis de publicação e siga as instruções:
No relatório clique no botão Mais ações.
Escolha a opção Novo
Digite o nome deste perfil
Selecione o Plugin que executará a publicação no servidor
Selecione uma credencial já registrada no senhasegura para acessar o dispositivo e executar a publicação ou desmarque a caixa de seleção e insira o nome de usuário da credencial.
As configurações do plug-in serão parcialmente preenchidas de acordo com as configurações. Digite todos os campos de configuração presentes, caso contrário, o certificado será instalado no site padrão do plug-in.
cautionA figura perfil-ptbr mostra o formulário com campos para preenchimento de configurações do plugin Apache. O formulário será diferente conforme a escolha do plugin.
Clique em Salvar e aguarde a página recarregar.
Vá para a guia Servidores e clique no botão Adicionar para inserir os servidores nos quais esse perfil atuará.
Selecione os servidores desejados e clique em Adicionar. Se você cometeu um erro, clique no botão Remover e selecione os servidores nos quais você não deseja que o perfil atue.
Clique em Salvar.
Autoridade Certificadora
Para a assinatura de um certificado também é importante ter a Autoridade Certificadora,2 desejada, cadastrada no senhasegura . Para cadastrar uma autoridade certificadora acesse o menu: Certificados ➔ Configurações ➔ Autoridades e siga as instruções:
No relatório clique no botão Mais ações.
Escolha a opção Novo
Entre as opções de autoridades clique na desejada
infoSe autoridade desejada não se encontra na lista escolha a opção Autoridade externa e insira uma nova.
Insira o Nome desta autoridade
cautionCada opção de autoridade certificadora um formulário diferente será exibido, já que cada autoridade de certificadora precisa de informações diferentes, tais como CA Hostname,nome de usuário. Digite as informações necessárias que estão marcadas com a(*).
Clique em Salvar para concluir o cadastro
Sendo assim os formulários de requisição de certificado, assinatura e publicação exibirão as informações incluídas nestas configurações.
Requisições
Após configurar os itens necessários você poderá criar uma requisição de um certificado, ou até mesmo importar uma requisição criada anteriormente.
As requisições são necessárias para que o senhasegura entenda qual tipo de certificado você deseja obter, e por qual autoridade deverá ser assinado, por este motivo siga corretamente as instruções das seções a seguir:
Requisição manual
Para requisitar um certificado manualmente será necessário preencher um formulário com os detalhes do certificado desejado, para isso acesse o menu: Certificados ➔ Requisições, e:
Clique no botão Exibir ações do relatório e escolha a opção Novo.
No formulário escolha o Tipo de certificado que você deseja obter, que pode ser:
DV SSL: apenas verifica e valida o endereço
OVSSL: confere um nome, documentação e localização física para a organização das informações.
EV SSL: a organização passa por uma validação completa de domínio, nome, registro, endereço físico, operações atuais e outros.
Em seguida escolha o tipo de domínio que o certificado fará parte.
No campo Organização selecione a opção que você criou no capítulo anterior. E clique em Adicionar.
Insira o nome do certificado, esse campo é importante para a identificação do certificado no sistema, dessa forma será mais fácil encontrar o certificado que deseja que seja assinado por determinada autoridade ou que seja publicado em um dispositivo específico. Por isso coloque um nome que ajude que você e outros usuários deste módulo entendam a sua relevância.
Selecione o tipo de algoritmo de criptografia que deseja que o certificado tenha, lembre-se de escolher o algoritmo que se adeque com os critérios de segurança da sua organização.
Da mesma forma selecione também o tamanho da chave de criptografia.
Escolha também o algoritmo de assinatura do certificado, esse algoritmo será usado para assinar o certificado através da autoridade certificadora.
Por fim selecione o período em dias que deseja que este certificado continue sendo válido e clique em Salvar.
Para ter mais segurança você pode também determinar uma senha para a visualização do certificado no campo Store password. Da mesma forma determinar uma senha para que o certificado seja revogado no campo Senha de revogação, ou seja, apenas aqueles que conhecem a senha poderão revogar o certificado.
Importar Requisição
Caso você já tenha uma requisição pronta, pode importá-la para o senhasegura que irá processá-la para gerar o certificado. Para importar uma requisição siga as instruções a seguir:
No menu: Certificados ➔ Requisições e clique no botão Exibir ações do relatório e escolha a opção Importar request
Selecione o arquivo
.csr
3 na sua máquina e em seguida selecione o arquivo.key
com a chave do certificado.infoPara ter mais segurança você pode também determinar uma senha para a visualização do certificado no campo Store password. Da mesma forma determinar uma senha para que o certificado seja revogado no campo Senha de revogação, ou seja, apenas aqueles que conhecem a senha poderão revogar o certificado.
Escolha o algoritmo de assinatura do certificado, esse algoritmo será usado para assinar o certificado através da autoridade certificadora.
Selecione em seguida o Tipo de certificado que você deseja obter, que pode ser:
DV SSL: apenas verifica e valida o endereço
OVSSL: confere um nome, documentação e localização física para a organização das informações.
EV SSL: a organização passa por uma validação completa de domínio, nome, registro, endereço físico, operações atuais e outros.
Escolha o tipo de domínio que o certificado fará parte.
No campo Organização selecione a opção que você criou no capítulo anterior. E clique em Adicionar.
Clique em Salvar
Com isso o certificado será gerado pelo senhasegura e estará pronto para ser assinado.
Se o usuário requisitando o certificado esteja em um grupo que necessita de aprovação, o certificado só estará disponível para ser assinado após a aprovação por um dos usuários aprovadores do grupo.
Assinando um certificado
Um certificado só poderá ser publicado em um dispositivo após a sua assinatura por uma autoridade certificadora.
Já que assinatura é um estabelecimento de confiança que garante que o dispositivo é de fato quem diz que é.
Após realizar a requisição como explicado no capítulo anterior e a requisição mudar para o status Gerado, a opção de solicitar uma assinatura poderá ser efetuada.
Um certificado pode ser auto-assinado ou assinado por uma autoridade certificadora.
Auto-assinado: Um certificado auto-assinado é recomendado para dispositivos que irão se comunicar apenas com outros que estão na mesma rede, que em outras palavras se conhecem e por isso confiam um no outro. Assim um reconhece a assinatura do outro como válida.
Assinado por uma autoridade certificadora: Certificados assinados por autoridades são recomendados para dispositivos que irão se comunicar com outros fora de sua rede já que esses não tem uma relação de confiança estabelecida com seu dispositivo e irão confiar na assinatura de uma autoridade (conhecida e com propriedade) que diz que o dispositivo é quem diz ser.
Para isso acesse o formulário de requisições: Certificados ➔ Requisições e busque pelo certificado que deseja assinar e confirme se o foi gerado na coluna status, então siga as instruções:
Clique no botão de Ação do certificado que deseja assinar e selecione a opção Solicitar assinatura.
No formulário selecione se o certificado será auto-assinado ou não (a assinatura será feita por uma autoridade certificadora)
Se a resposta for Não, selecione entre as opções a autoridade certificadora que irá assinar o certificado.
No campo Justificativa descreva porque deseja assinar o certificado
Em seguida selecione o Motivo da assinatura do certificado e por fim clique em Salvar.
Se o usuário requisitando a assinatura esteja em um grupo que necessita de aprovação, o certificado só será assinado após a aprovação por um dos usuários aprovadores do grupo.
Quando a autoridade certificado assinar o certificado ele será exibido no relatório de certificados: Certificados ➔ Certificados.
Importando um certificado
Caso você já tenha um certificado e deseja que o senhasegura o gerencie você pode fazer a importação deste para o sistema seguindo as seguintes instruções:
Acesse o relatório de certificados: Certificados ➔ Certificados
infoVocê pode utilizar o botão Ações rápidas e selecionar a opção Certificado para que o formulário de importação seja exibido.
Clique no botão Exibir ações do relatório e selecione a opção Importar certificado
Selecione o arquivo do certificado na sua máquina
Em seguida selecione também o arquivo key que corresponde a chave do certificado.
Clique em Importar para finalizar
Para ter mais segurança você pode também determinar uma senha para a visualização do certificado no campo Store password. Da mesma forma determinar uma senha para que o certificado seja revogado no campo Senha de revogação, ou seja, apenas aqueles que conhecem a senha determinada poderão revogar o certificado.
Atualize o relatório e o certificado importado já estará disponível para ser gerenciado pelo senhasegura .
Publicando um certificado
Com o certificado disponível no senhasegura você já poderá publicá-lo no dispositivo desejado.
Lembre-se que os certificados só poderão ser publicados em dispositivos cadastrados no senhasegura .
No relatório de certificados: Certificados ➔ Certificados clique no botão de ação do certificado desejado. Utilize o filtro para encontrá-lo mais rápido.
Selecione o motivo de querer publicar o certificado.
Em seguida escolha qual o plugin de publicação será utilizado.
infoVocê pode também selecionar o perfil de publicação criado no capítulo Configurações, onde as configurações de plugin e dispositivos onde o certificado deverá ser publicado já estão pré-determinados. Caso essa seja sua escolha apenas descreva a justificativa de estar publicando esse certificado e escolha a credencial de autenticação para realizar a publicação e clique em Salvar.
infoTambém é possível criar um perfil de publicação neste mesmo formulário que poderá ser usado em publicações futuras, selecione a caixa Criar um novo perfil de publicação e preencha os dados necessários.
Insira uma descrição da justificativa de estar publicando este certificado.
Em seguida selecione a credencial cadastrada no senhasegura ou digite o username que o sistema deverá utilizar para se autenticar nos dispositivos onde o certificado será publicado.
Clique em Salvar e aguarda a página ser atualizada.
Siga para guia Servidores e selecione os dispositivos onde o certificado deverá ser publicado.
infoVocê pode também agendar o momento da publicação para isso siga para a guia Agendamento e selecione a opção Sim. Em seguida determine a data e hora da publicação e clique em Salvar.
Por fim clique em Salvar.
Se o usuário publicando o certificado esteja em um grupo que necessita de aprovação, o certificado só será publicado após a aprovação por um dos usuários aprovadores do grupo.
Certificados publicados
Para visualizar os certificados publicados, e em quais dispositivos siga para o menu: Certificados ➔ Publicações.
No relatório encontre o certificado que deseja verificar, utilize o filtro para encontrar mais rápido e clique no botão de Ação correspondente para que a lista de dispositivos onde o certificado está publicado seja exibida.
Renovando um certificado
Quando um certificado expira ou está prestes a expirar, o usuário deve fazer uma requisição de renovação que nada mais é que um pedido de um novo certificado com os mesmos dados do anterior. A renovação de um certificado também pode ser feita através do senhasegura para isso siga as instruções:
Acesse o relatório de certificados: Certificados ➔ Certificados
Encontre o certificado que deseja renovar, utilize o filtro para encontrar mais rápido e clique no botão de ação correspondente e selecione a opção Renovar certificado
Escolha entre as opções para criar a requisição de renovação junto com a requisição de assinatura ou apenas crie a requisição de renovação e clique em Sim para prosseguir.
Gerar a request e solicitar a assinatura: Ao escolher esta opção a tela será carregada novamente e o formulário de pedido será carregado para que você possa editar e solicitar mais informações sobre a renovação. Para instruções sobre como preenchê-lo, consulte a capítulo Requisições.
Apenas gerar a request: Esta opção gera apenas o pedido de renovação. Com esta etapa reproduzida, a renovação será solicitada e o certificado renovado estará pronto para que sua assinatura seja solicitada em seguida. Consulte o capítulo Assinando um certificado para saber como solicitar uma assinatura.
A requisição de renovação também pode depender de uma aprovação caso o usuário seja membro de um grupo que exija aprovações
Assim que o certificado for renovado e assinado estará disponível no relatório de certificados com o status: Válido.
Se o certificado ainda não tiver sido renovado o status será exibido como: Renovação requisitada, aguarde mais um tempo e recarregue a página.
Acesse o relatório de requisições: Certificados ➔ Requisições para verificar o status da requisição de renovação
.
Dashboard
Para ter mais conhecimento sobre os certificados que precisam ser renovados ou estão com seus períodos de validade chegando ao fim acesse os dashboards de certificados:
Dashboard geral: Mostra as informações gerais dos certificados como: número de certificados que expiraram nos próximos 180, 90 até 7 dias; número de certificados por ambiente, por CA, por tipo e outros.
Acesse: Certificados ➔ Dashboards ➔ Geral
Radar de certificados: O radar exibe os certificados, por autoridade certificadora que estão mais próximos do vencimento. Clicando sobre eles uma página com informações sobre o certificado será exibida, como: data exata do vencimento, responsável pelo certificado, dispositivos onde o certificado está publicado. Ainda é possível nesta mesma página realizar a renovação do certificado clicando no botão Renovar no rodapé da página.
Acesse: Certificados ➔ Dashboard ➔ Radar de risco
Revogando um certificado
Acesse o relatório de certificado Certificados ➔ Certificados e encontre o certificado que deseja revogar e clique no botão de ação correspondente e clique em Revogar certificado
Realizando o downalod ou enviando um certificado por e-mail
Após o certificado publicado no sistema é possível fazer download de um certificado e também envia-lo por e-mail.
Acesse o relatório de certificado Certificados ➔ Certificados e encontre o certificado que deseja fazer download ou enviar por e-mail, utilize o filtro para encontrar mais fácil
Clique no botão de ação correspondente e escolha a opção Informações do certificado
Na página de informações exibida clique no botão do rodapé:
Enviar por e-mail: O certificado será enviado por e-mail para os usuários escolhidos. Clique no botão Adicionar e uma lista dos usuários com endereços de e-mail cadastrados no senhasegura será exibida. Selecione os usuários que deseja que recebam o certificado, clique em Adicionar. Se a lista de usuários estiver correta clique em Enviar.
Download do certificado: Ao clicar neste botão o download dos arquivos do certificado serão iniciados automaticamente.
Conclusão
Ao finalizar esse livro você terá adquirido conhecimento para realizar as atividades básicas do gerenciamento de certificados através do senhasegura .
Se deseja continuar aprendendo como utilizar o sistema da melhor forma possível solicite ao nosso time de suporte nossa documentação disponível de acordo com o seu perfil e necessidade:
Manuais
Manual do Usuário
Manual do Administrador da Ferramenta
Manual do Administrador de Operações
Manual do Auditor
Manual do Desenvolvedor
Manual DevSecOps
Manual de Monitoramento
Manual Cloud IAM
Manual Orbit CLI
Cookbooks
Primeira Experiência Cookbook
Troca de Senha Cookbook
Outros
Especificação Técnica
Guia de Monitoramento
- Para obter mais informações sobre os níveis de aprovação, consulte o capítulo Acessos do Manual do Administrador de Operações.↩
- É uma empresa ou organização que valida a identidade de pessoas, empresas, endereços de e-mail, websites e emite os certificados digitais relacionados a essas identidades para garantir a autenticidade e integridade das comunicações. Ex: Comodo, Let's Encrypt, Symatec e outras.↩
- arquivo de texto gerado pelo servidor web contendo as informações para a solicitação do seu certificado↩