27.5. Tipos de Certificados

Se você instalou seu servidor seguro pelo pacote RPM provido pela Red Hat, são gerados uma chave e certificado teste randômicos e inseridos nos diretórios apropriados. Antes de começar a usar seu servidor seguro, no entanto, você deve gerar sua própria chave e obter um certificado que identifica corretamente seu servidor.

Você precisa de uma chave e um certificado para operar seu servidor seguro — o que significa que você pode gerar um certificado auto-assinado ou adquirir um certificado assinado por uma CA. Quais são as diferenças antre eles?

Um certificado assinado por uma CA oferece duas capacidades importantes para seu servidor:

Se o seu servidor seguro é acessado por um grande público, precisa de um certificado assinado por uma CA, para que as pessoas que visitem seu site saibam que é realmente de propriedade da empresa. Antes de assinar um certificado, uma CA verifica se a empresa requisitando o certificado é realmente quem diz ser.

A maioria dos navegadores web que suportam a SSL tem uma lista de CAs cujos certificados são aceitos automaticamente. Se encontrar um certificado cuja CA autorizadora não se encontra na lista, o navegador pergunta ao usuário se deseja aceitar ou negar a conexão.

Você pode gerar um certificado auto-assinado para seu servidor seguro, mas esteja ciente de que este tipo de certificado não oferece a mesma funcionalidade que um certificado assinado por uma CA. Um certificado auto-assinado não é automaticamnete reconhecido pela maioria dos navegadores web e não oferece nenhuma garantia em relação à identidade da empresa que está provendo o site. Um certificado assinado por uma CA oferece estas duas importantes capacidades para um servidor seguro. Se o seu servidor seguro é usado num ambiente de produção, você provavelmente precisa de um certificado assinado por uma CA.

O processo de obtenção de um certificado por uma CA é bem tranquilo. Veja uma visão geral a seguir:

  1. Crie um par de chaves pública e particular de criptografia.

  2. Crie um pedido de certificado baseado na chave pública. Este pedido contém informações sobre seu servidor e da empresa que o hospeda.

  3. Envie o pedido do certificado, juntamente com documentos comprovando seu identidade, para uma CA. Não podemos lhe dizer qual certificado escolher. Sua decisão deve ser baseada em suas experiências no passado, ou nas experiências de seus amigos e colegas, ou puramente em fatores financeiros.

    Após você tomar uma decisão sobre a CA, deve seguir as instruções oferecidas sobre como obter um certificado para ela.

  4. Quando a CA estiver convicta de que você realmente é quem clama ser, envia um certificado digital a você.

  5. Instale este certificado no seu servidor seguro e comece a efetuar transações seguras.

Com ambos certificados, de uma CA ou auto-assinado, o primeiro passo é gerar a chave. Consulte a Seção 27.6 para instruções sobre a geração da chave.