Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Web Application Firewall/ Guia de usuário/ Gerenciamento de nomes de domínio do site/ Atualização de um certificado
Atualizado em 2023-09-21 GMT+08:00
Ver PDF
Compartilhar

Atualização de um certificado

Se você selecionar Cloud mode ou Dedicated mode para implantação de site e definir o Client Protocol como HTTPS, carregue um certificado para seu site nos seguintes cenários:

  • Se o certificado do seu site estiver prestes a expirar, compre um novo certificado antes da data de expiração e atualize o certificado associado ao site no WAF.
  • Se você planeja atualizar o certificado associado ao site, associe um novo certificado ao seu site no console do WAF.

Se você ativou projetos corporativos, certifique-se de ter todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto da empresa na lista suspensa Enterprise Project e atualizar certificados.

Pré-requisitos

  • O modo de implantação da instância do WAF configurado para o seu site é Cloud mode ou Dedicated mode.
  • Seu site usa HTTPS como o protocolo do cliente.

Restrições

  • Cada nome de domínio deve ter um certificado associado. Um nome de domínio curinga só pode usar um certificado de domínio curinga. Se você tiver apenas certificados de domínio único, adicione nomes de domínio um a um no WAF.
  • Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver em.pem, antes de carregá-lo, converta-o em.pem referindo-se a 6.
  • Antes de atualizar o certificado, verifique se a instância do WAF e o certificado que deseja carregar pertencem à mesma conta.
  • O WAF não envia notificações se um certificado expirar, mas você pode exibir o tempo de expiração do certificado na página Certificates.

Impacto no sistema

  • É recomendável que você atualize o certificado antes que ele expire. Caso contrário, todas as regras de proteção do WAF não entrarão em vigor, e pode haver impactos enormes no servidor de origem, ainda mais graves do que um host com falha ou falhas de acesso ao site.
  • A atualização de certificados não afeta os serviços. O certificado antigo ainda funciona durante a substituição do certificado. O novo certificado assumirá o trabalho assim que tiver sido carregado e associado com sucesso ao nome de domínio.
  • O acesso ao seu site pode ser afetado quando você atualizar as configurações de certificados usados para servidores de back-end ou para nomes de domínio de seus sites protegidos pelo WAF. Para minimizar esses impactos, atualize os certificados fora do horário de pico.

Procedimento

  1. Efetue login no console de gerenciamento.
  2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
  3. Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
  4. No painel de navegação, escolha Website Settings.
  5. Na coluna Protected Website, clique no nome de domínio do site para acessar a página de informações básicas.
  6. Clique em ao lado do nome do certificado. Na caixa de diálogo Update Certificate, importe um novo certificado ou selecione um certificado existente.

    • Se você selecionar Import new certificate para Update Method, insira um nome de certificado e copie e cole o arquivo de certificado e a chave privada nas caixas de texto correspondentes. Figura 1 mostra um exemplo.

      Os certificados recém-importados serão listados na página Certificates. Para mais detalhes, veja Carregamento de um certificado.

      O WAF criptografa e salva a chave privada para mantê-la segura.

      Figura 1 Atualizando Certificado
      Somente certificados .pem podem ser usados no WAF. Se o certificado não estiver no formato.pem, converta-o localmente para.pem consultando Tabela 1 antes de carregá-lo.
      Tabela 1 Comandos de conversão de certificados

      Formato

      Método de conversão

      CER/CRT

      Renomeie o arquivo de certificado cert.crt para cert.pem.

      PFX (em inglês)
      • Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter cert.pfx em key.pem:

        openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes

      • Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.pfx em cert.pem:

        openssl pkcs12 -in cert.pfx -nokeys -out cert.pem

      P7B
      1. Converter um certificado. Por exemplo, execute o seguinte comando para converter cert.p7b em cert.cer:

        openssl pkcs7 -print_certs -in cert.p7b -out cert.cer

      2. Renomeie o arquivo de certificado cert.cer para cert.pem.

      DER
      • Obtenha uma chave privada. Por exemplo, execute o seguinte comando para converter privatekey.der em privatekey.pem:

        openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem

      • Obter um certificado. Por exemplo, execute o seguinte comando para converter cert.cer em cert.pem:

        openssl x509 -inform der -in cert.cer -out cert.pem
      • Antes de executar um comando OpenSSL, verifique se a ferramenta OpenSSL foi instalada no host local.
      • Se seu PC local executa um sistema operacional Windows, vá para a interface de linha de comando (CLI) e execute o comando de conversão de certificados.
    • Se você selecionar Select existing certificate para Update Method, selecione um certificado existente na lista suspensa Certificate Name.
      Figura 2 Selecionando um certificado existente

      Se não houver certificados disponíveis, clique em Purchase Certificate e compre um certificado e envie-o para o WAF.

  7. Clique em OK.

Outras operações

Carregamento de um certificado