Usar certificado em outro servidor

Olá.

Posso usar um certificado que foi gerado em um servidor Windows em outro site em um servidor Linux?

Explicando melhor:

Tenho um ambiente misto de servidores onde tenho meu próprio servidor de DNS e meus servidores WEB em Windows e Linux.

Criei um certificado Wildcard no meu servidor WEB Windows (*.minhaempresa.net.br). E todos as aplicações nesse server usam um subdomínio com esse certificado. Até aqui tudo certo.

Agora preciso usar esse certificado em uma aplicação que está em um servidor WEB Linux.
Essa aplicação vai usar um subdomínio (web2.minhaempresa.net.br).

Pelo que vi vou precisar do arquivo .crt ou pem e da key. Mas não sei onde encontrar.

Oi @kleber07 ,

Bem-vindo aos fóruns da comunidade!

Por favor, consulte a seguinte documentação para aprender como começar a usar o Let’s Encrypt.

Você pode encontrar vários clientes Windows listados no link a seguir.
https://letsencrypt.org/pt-br/docs/client-options/

Eu recomendo usar o ambiente de teste durante o teste.
https://letsencrypt.org/pr-br/docs/staging-environment/

Oi, Phil_LE.

Já fiz isso. Já uso o certificado no Windows a algum tempo. A questão agora é usar esse mesmo certificado em outro servidor com Linux.

Oi @kleber07,

Como você criou e instalou o certificado atual no seu servidor?

Oi, Schoen.

Instalei o https://certifytheweb.com/ no meu servidor o IIS e fiz o processo de checagem até gerar o certificado para o domínio.

Interessante, me parece que essa ferramenta instala o certificado e a chave diretamente no IIS em vez de salvá-los como arquivos no sistema de arquivos. Assim acho que precisariamos de encontrar uma opção ou no CertifyTheWeb ou no IIS para exportar esses dados (talvez isso é exatamente o que está procurando aqui).

(Editado:) Outra coisa, você encontrou um jeito de automatizar a renovação desse certificado, por exemplo com uma API do provedor de DNS? Os certificados Let’s Encrypt têm um prazo de validade de apenas 90 dias. Se tem uma opção para fazê-lo, talvez pode usá-la no servidor Linux também (com outro software em vez do CertifyTheWeb, mas fazendo a mesma coisa). Se não tem tal opção de renovação automática ainda, o que pediu faz sentido (emitir o certificado num servidor e copiar para outro).

O desenvolvedor do CertifyTheWeb, @webprofusion, está nesse fórum.

@webprofusion, is there a convenient way to export an existing certificate and key as discrete files with CertifyTheWeb, even after it’s been installed as an IIS binding?

Procurei no IIS e também não encontrei como exportar o certificado e a chave.

Ainda não tentei automatizar a renovação não, iria fazer manualmente quando estivesse para expirar.

Vamos ver se o @webprofusion responder aqui. Outra opção seria perguntar diretamente no fórum desse software

(acho que só aceitam perguntas em inglês)

Busquei muito rápido lá e encontrei essa resposta

que descreve como fazê-lo, mas talvez o desenvolvedor já adicionou uma opção mais fácil numa atualização do software.

Muito obrigado, Schoen.

Fiz o procedimento com o arquivo PFX que está nessa pasta:
C:\ProgramData\Certify\certes\assets\pfx

Segui esse tutorial para importar no Apache e deu tudo certo.
https://br.godaddy.com/help/instalacao-manual-de-um-certificado-ssl-no-servidor-apache-ubuntu-32078

Legal, @kleber07. Agora é só lembrar que tem que fazê-lo de novo a cada 90 dias.

Se um dia obtiver acesso a uma API de atualizações DNS, ou não precisar mais de certificados wildcard, poderá automatizar o processo de renovação de certificado.

Hi, yes as @schoen found there is a method to export to own files etc.

The next release will have a new Deployment Tasks feature which will include exporting to a remote system over SSH/SFTP which achieves exactly this.

I would recommend using either one of our supported DNS APIs or using acme-dns, as manual DNS validation can be difficult.

Hi, @webprofusion.

Where can I find more information about DNS APIs and acme-dns?

Hi, we have some guidance on using DNS APIs here: https://docs.certifytheweb.com/docs/dns-validation.html

DNS API support is limited because there are so many possible providers with different APIs, so sometime acme-dns (CNAME redirection to a less privileged DNS service) is the easiest.