[HSC MailInspector] - Certificado SSL

No Mailinspector é possível criar um certificado autoassinado ou importar um certificado customizado para o sistema, vamos ver como isso pode ser feito:

Onde:

Administração / Ferramentas / Certificado SSL

image-20240419-172523.png

Visão geral do Certificado SSL:

O SSL (Secure Sockets Layer) é um protocolo de segurança criado pela Netscape que se tornou padrão internacional para troca de informações sigilosas na Internet.

A tecnologia SSL foi incorporada em todos os browsers populares e funciona automaticamente quando um usuário se conecta a um servidor habilitado para o protocolo, que é o caso do MailInspector. É fácil saber quando um servidor o usa, pois sua URL iniciará com https. O “s” vem de “Secure”.

O browser utilizado ao se conectar, automaticamente pedirá ao MailInspector um certificado digital da Autoridade Certificadora (CA), esse certificado poderá ser autoassinado ou importado. Ela autentica a identidade do servidor para garantir que não seja enviado dados sigilos para um hacker ou um site falso.

Uma vez com a comunicação esteja estabelecida com SSL entre o browser e o servidor do MailInspector, o browser irá automaticamente criptografar todas as informações enviadas para o sistema, assegurando a comunicação segura entre o browser e o servidor do MailInspector. Quando as informações chegam ao MailInspector, são decifradas usando uma chave secreta. Se o MailInspector envia informações de volta, essas informações também são criptografadas antes de serem enviadas. O navegador irá decifrá-las automaticamente no momento da chegada.

Outra característica da tecnologia SSL é a capacidade de autenticar os dados de modo que um intercessor não possa substituir por outros falsos sem serem detectados.

Definições de Opções:

A tela do inclusão do certificado é a seguinte:

image-20240419-173127.png
  1. Salvar - Salva as configurações do Certificado SSL

  2. Certificado SSL - Escolha entre:
    Auto-assinado: O próprio MailInspector gera o certificado SSL, sem necessidade de importação ou configuração.
    Customizado: Permite a importação de certificado gerado por unidade certificadora.

  3. Certificado - Somente é liberada esta opção, quando for escolhido o Certificado SSL como sendo customizado. Selecione o local do Certificado com extensão padrão .PEM

  4. Chave do Certificado - Somente é liberada esta opção, quando for escolhido o Certificado SSL como sendo Customizado. Selecione o local da chave do certificado, com o formato padrão .KEY

  5. Cadeia Completa do Certificado - Selecione o local da cadeia do certificado, no formato padrão .CRT

 

Caso o certificado esteja em outro formato, é possível efetuar a conversão dele para os formatos PEM e CRT.

Devemos lembrar que os certificados são por padrão de acordo com o sistema operacional que o gerou ou que o opera, seguindo os formatos:


• Microsoft Windows: Arquivos formato .PFX
• Linux Apache: Arquivos formato .CRT, .CER

 

Além dos formatos acima descritos (os mais comuns), ainda temos outros. Segue a descrição completa dos formatos, bem como a finalidade de cada um deles:

Formato PEM:

O formato PEM é o formato mais comum em que as Autoridades de Certificação emitem certificados. Os certificados PEM geralmente têm extensões como .pem, .crt, .cer e .key . Eles são arquivos ASCII codificados em Base64 e contêm instruções "----- BEGIN CERTIFICATE -----" e "----- END CERTIFICATE -----". Certificados de servidor, certificados intermediários e chaves privadas podem ser colocados no formato PEM.

O Apache e outros servidores semelhantes usam certificados de formato PEM. Vários certificados PEM, e até mesmo a chave privada, podem ser incluídos em um arquivo, um abaixo do outro, mas a maioria das plataformas, como o Apache, espera que os certificados e a chave privada estejam em arquivos separados.

Formato DER:

O formato DER é simplesmente uma forma binária de um certificado em vez do formato ASCII PEM. Às vezes, ele tem uma extensão de arquivo .der, mas geralmente tem uma extensão de arquivo .cer, portanto, a única maneira de diferenciar um arquivo DER .cer de um arquivo PEM .cer é abri-lo em um editor de texto e procurar as instruções BEGIN / END. Todos os tipos de certificados e chaves privadas podem ser codificados no formato DER. O DER é normalmente usado com plataformas Java. O Conversor SSL só pode converter certificados para o formato DER. Se você precisar converter uma chave privada em DER , use os comandos OpenSSL citados a seguir.

Formato PKCS # 7 / P7B:

O formato PKCS # 7 ou P7B é normalmente armazenado no formato Base64 ASCII e possui uma extensão de arquivo de .p7b ou .p7c . Os certificados P7B contêm instruções "----- BEGIN PKCS7 -----" e "----- END PKCS7 -----". Um arquivo P7B contém apenas certificados e certificados de cadeia, não a chave privada. Várias plataformas suportam arquivos P7B, incluindo Microsoft Windows e Java Tomcat.

Formato PKCS # 12 / PFX:

O formato PKCS # 12 ou PFX é um formato binário para armazenar o certificado do servidor, quaisquer certificados intermediários e a chave privada em um arquivo criptografável. Os arquivos PFX geralmente possuem extensões como .pfx e .p12 . Os arquivos PFX são normalmente usados em máquinas Windows para importar e exportar certificados e chaves privadas.

Ao converter um arquivo PFX para o formato PEM, o OpenSSL colocará todos os certificados e a chave privada em um único arquivo. Você precisará abrir o arquivo em um editor de texto e copiar cada certificado e chave privada (incluindo as instruções BEGIN / END) em seu próprio arquivo de texto individual e salvá-los como certificate.cer, CACert.cer e privateKey.key, respectivamente.

Convertendo manualmente o certificado:

É altamente recomendável que você converta para e de arquivos .pfx em sua própria máquina usando o OpenSSL para que você possa manter a chave privada lá. Use os seguintes comandos OpenSSL para converter o certificado em diferentes formatos em sua própria máquina:

  • Converter PEM para DER
    openssl x509 -outform der -in certificate.pem -out certificate.der

  • Converta PEM para P7B
    openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer

  • Converter PEM para PFX
    openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

  • Converter DER para PEM
    openssl x509 -inform der -in certificate.cer -out certificate.pem

  • Converter P7B para PEM
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer

  • Converter P7B para PFX
    openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer
    openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer

  • Converter PFX para PEM
    openssl pkcs12 -in certificate.pfx -out certificate.cer -nodes

 

Em caso de problema, é possível gerar um novo Certificado Autoassinado, para isso acesse o diretório: /opt/hsc/mailinspector/admsuite/scripts
Execute o script: ./localhost-certs.sh e restart o apache.

O arquivo de chave não deve requerer a senha do certificado para leitura.

Dica: O que geralmente é utilizado são os arquivos .PEM, .KEY (chave) e o .CRT, todos arquivos SEM SENHA