Configuração de HTTPS em Instalações OnPremise

Sumário

1. Conceito

Através deste manual é possível acompanhar as etapas para configurar HTTPS em instalações OnPremise.

2. Configurações

2.1 Configuração para Chamadas HTTPS para CONNECT OnPremise/Standalone v1.6+

Cada instância onPremise do CONNECT precisa ser apontada com um endereço, que chamamos de URL de Acesso.

Essa URL de Acesso é utilizada tanto pela interface de usuários, quanto pelos sistemas envolvidos na integração, para se comunicarem com o CONNECT, conforme Manual de Implementações.

Para garantir a criptografia dos dados durante o transporte é importante que o protocolo HTTPS esteja configurado nessa instalação.

2.1.1 Requisitos

• Alocar um domínio acessível para qualquer entidade que precisar enviar requisições ao integrador;
• Providenciar os arquivos de chave pública (formato PEM), chave privada (formato KEY) e, se necessário, chave pública da CA (CertificateAuthority);
• Mover os certificados para dentro do servidor de instalação onPremise, no caminho /usr/local/sconnect/etc/nginx/certs/. Esse caminho é acessível no container em /etc/nginx/certs;
• Dar permissão para o usuário de aplicação manusear os arquivos com o comando chown sconnect:sconnect FILENAME para todos, substituindo FILENAME no comando pelo nome dos arquivos.

3.Truststore

Em muitos cenários, é comum que o integrador possua um fluxo de integração que precisa chamar outro fluxo do ambiente. Já que estamos desejando que todas as chamadas sejam realizadas em HTTPS, é necessário que o certificado de domínio também esteja na Truststore da instância.

Para isso, basta executar os seguintes comandos:

Onde PUBLIC.KEY é a chave publica do domínio.

4. NGINX

Para cada instância standalone existe um NGINX embarcado como servidor de proxy, para facilitar as configurações de interface de rede com a aplicação.

As configurações do NGINX do CONNECT ficam localizadas, por padrão, no caminho /usr/local/sconnect/etc/nginx/nginx.conf.

Os trechos relevantes do arquivo para configuração, são:

ssl_certificate /etc/nginx/certs/mydomain.com.br.pem;

ssl_certificate_key /etc/nginx/certs/mydomain.com.br.key;

#ssl_trusted_certificate /etc/nginx/certs/myCA.crt;

ssl_certificate espera o arquivo de chave pública do domínio alocado à sua instância onPremise, enquanto ssl_certificate_key espera o arquivo de chave privada.

O campo ssl_trusted_certificate é comentado por padrão pois só é utilizado se houver a necessidade de especificar o uma chave pública para identificar a Certificate Authority responsável por providenciar o certificado de domínio.

Para mais informações e entendimento sobre certificados de domínio e as configurações do NGINX acesse:

Certificados de Domínio

https://nginx.org/en/docs/http/configuring_https_servers.html

Após editar as linhas para apontar os arquivos de certificação de domínio, basta reiniciar a instância com o comando:

5. Referências

https://nginx.org/en/docs/http/configuring_https_servers.html

6. Páginas Relacionadas

Certificados de Domínio

Manual de Implementações

Gestão da Coleção de Certificados (Truststore)

HTTPS & Truststore de Ambientes Legado