quarta-feira, 30 de maio de 2001

Instalando Certificados Digitais - Parte II

Ok , no útlimo episódio , vimos como criar o pedido do certificado e como submeter o mesmo a uma entidade certificadora , que no caso foi a Verisign .
Só lembrando dois detalhes importantes :

- Não preenchi nenhuma informação sobre cartão de crédito . Coloquei no site da Verisign que se tratava de "Research Only" . Não tenho essa grana toda ! ;
- Estou fazendo um certificado válido para o Default Web Site da minha máquina , onde o Host Header Name é www.lula.pro.br . Mas o indicado é você criar um site no IIS e criar o certificado para ele . Se vcoê mudar o nome
do site depois ,vai ter que trocar de certificado , pois esse se tornará inválido .

Bem , desde quando mandei a mensagem , até agora , já deve ter chegado para você um e-mail com a resposta da Verisign , dizendo que está tudo bem .
Nesse e-mail você encontrará um pedaço parecido com o arquivo TXT que você criou no IIS para fazer a solicitação . No meu caso :

-----BEGIN CERTIFICATE-----
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-----END CERTIFICATE-----

Copie do Begin ao End Certificate apenas e cole em um arquivo TXT que eu darei o nome de RESPOSTA.TXT no meu exemplo .Como instalar o certificado agora ??? Vamos lá :

- De volta ao IIS , vou até as propriedades do Default Web Site e procuro pelo Directoy Security , botão "Server Certificate" . Aparece nosssa amigo Wizards novamente , leia as instruções e Next ;

- Na próxima tela , aparece opções que não vimos antes : "Process the pending request ... " e "Delete the pending request" . Vamos escolher a primeira opção , pois vamos processar o certificado pendente e não apagá-lo . Next ;

- Coloque o caminho de onde está o seu arquivo RESPOSTA.TXT . Cuidado , pois o default da extensão aqui é .cer , mas gravamos como .txt . Encontrou o
arquivo ? Ótimo , Next ;

- A próxima tela mostra a confirmação de todas as informações que você
preencheu no site . Next ;

- Considerações Finais e Finish ;

- Ao voltar as propriedades do IIS , peça para ver o Certificado , se tudo correu bem , seu certificado vai acusar um erro ( não ria , é sério . Já vou explicar isso ) . Esse erro será explicado mais adiante .

Agora vem a parte de proteger seu site , e dizer que agora ele utilizará o canal seguro SSL .
Volte as propriedades do Default Web Site , Directory Security , item Secure Communications" , botão "Edit ... " . A primeira opção é justamente "Required Secure Channel (SSL)" . Clicando nessa opção , a opção seguinte é habilitada ( Required 128 - bits encryption ) . A primeiro momento eu não setaria essa opção , pois muitos browsers ainda não instalaram o encryption
pack para o IE 5.5 , logo a grande maioria trabalha em um canal de 40 bits .
Se você exigir um nível maior de criptografia , seus usuários vão ter que baixar o encryption pack , que pode ser encontrado na seção de atualizações do IE , na Microsoft .

Logo em seguida você diz se seu site vai exigir certificados pessoais de quem acessar . Você pode ignorar ( o cara não precisa ter um certificado digital ) , aceitar certificados ( aceita qualquer certificados , assinado por você ou não . Isso se você for uma entidade certificadora , que não é o caso desse certificado que estamos usando ) , ou se você exige certificados
assinados por você ( novamente , não é o tipo de certificado que você baixou ) .

Depois tem uma opção um pouco mais "Intranet" de ser , onde você valida usuários pelos certificados associados a sua conta de usuários do Windows .
Não é o caso desse certificado , mas é comum para os certificados gerados pelo Windows 2000 . Isso nós veremos na parte III.

Por fim , a opção de editar a lista de certificados de entidades que você confia . Não se aplica ao caso também .

Pronto . Seu site é um site seguro HTTPS , em canal seguro SSL . Mas um detalhe importante : SE você fizer isso no Defaul Web Site ( Como eu fiz ) ,
TODOS OS SEUS SITES ABAIXO ESTARÃO EM AMBIENTE SEGURO TAMBÉM . E é por isso
que eu recomendei primeiro a criação de seu site antes de gerar o certificado e instalar só para ele .

Agora , lembra que eu comentei que durante a visualização do seu certificado ele acusará um erro ? O Erro diz que o Windows não tem informação suficiente
para verificar o certificado . Isso acontece pois baixamos uma versão TRIAL , e a segurança da Verisign para garantir que será apenas de teste é esse :
para não acusar esse erro , você deve baixar um certificado de teste , que você tem que instalar em todas as máquinas que vão testar o seu site . O que inclue a própria máquina onde você instalou o certificado para o Server .

Onde conseguir esse certificado ? Como eu sei que você fechou seu browser , não leu as considerações finais quando solicitou o certificado para Verisign ( e eu rí desde o começo sobre isso ... ) , vou te dar o link :

http://www.verisign.com/server/trial/faq/index.html

Esse link só aparece quando você clica em "Frequent Asked Questions" no final do processo no site da Verisign . Bem , clique em Accept , e ele tentará fazer o download de um arquivo .cer . Grave em algum lugar e pronto .Clique duas vezes e ele se instala sozinho . Você deve fazer isso em toda máquina que for testar o seu site .

Bem , na próxima a gente vê como utilizar o Certificate Server do Windows 2000 para criar os certificados e ser até uma entidade certificadora .



Esta matéria foi postada originalmente no ASP4Developers por Luigi Paolo ( Lula ) (site), que na época era "Professor e Analista de Sistemas .". Hoje, vai saber...

0 comentários: