bg-blog-articles

O que é um pacote de CA em SSL e como criá-lo?

Você está instalando um certificado SSL no seu servidor e, de repente, se depara com um problema. A configuração solicita um arquivo“CA Bundle” e você não sabe ao certo o que é ou onde encontrá-lo. Você não está sozinho – isso atrapalha muitas pessoas durante a instalação do SSL.

O que é um pacote de CA?

Os pacotes da CA não são complicados quando você entende o que eles fazem. Neste guia, explicaremos a você exatamente o que é um pacote de CA, por que seu servidor precisa dele e como criar ou obter um em apenas alguns minutos. Ao final, você poderá lidar com os pacotes de CA com confiança e evitar os frustrantes erros de “certificado não confiável”.


Índice

  1. O que é um pacote de CA?
  2. Por que o pacote de CAs é importante para a segurança SSL
  3. Como obter seu pacote da CA
  4. Como criar um pacote de CA
  5. Verificando seu pacote de CA
  6. Instalando o pacote CA em seu servidor
  7. Problemas e soluções comuns do pacote da CA
  8. Práticas recomendadas do pacote da CA

Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo

O que é um pacote de CA?

Um pacote de CA é um arquivo único que contém certificados intermediários e certificados raiz da sua autoridade de certificação. Quando combinado com o certificado do servidor, ele completa a cadeia de confiança do certificado SSL – a sequência de certificados que os navegadores usam para verificar se o seu site é legítimo.

Pense da seguinte forma: seu certificado de servidor diz “Eu sou exemplo.com”, mas os navegadores precisam de comprovação. O pacote da CA fornece essa prova mostrando o caminho confiável do seu certificado até um certificado raiz no qual os navegadores já confiam.

A maioria dos certificados SSL exige um pacote de CA (a principal exceção são os certificados no formato PKCS#7, que já incluem o pacote). Sem ele, os navegadores não podem verificar a autenticidade do seu certificado, o que leva a avisos de segurança que afastam os visitantes.

Componentes do pacote CA

Um pacote de CA típico contém dois tipos de certificados:

  1. Certificados intermediários. Esses são certificados emitidos pela autoridade de certificação para fazer a ponte entre o certificado do servidor e o certificado raiz. CAs grandes, como a Sectigo e a DigiCert, costumam usar vários intermediários para distribuir a carga de trabalho de assinatura de certificados e gerenciar diferentes tipos de certificados.
  2. Certificados raiz. Esses são os certificados de nível superior na cadeia de confiança. Os navegadores e sistemas operacionais vêm pré-carregados com certificados raiz de CAs confiáveis. Quando um navegador vê um certificado raiz que reconhece, ele sabe que toda a cadeia de certificados é válida.

The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.

A cadeia de confiança do certificado

Veja como a cadeia de certificados SSL funciona na prática:

  1. Certificado de servidor (o certificado do seu site) – Contém o nome de domínio e a chave pública
  2. Certificado(s) intermediário(s) (do pacote de CA) – Assinado pela CA raiz, assina seu certificado
  3. Certificado raiz (do CA Bundle) – Pré-confiável por navegadores e sistemas operacionais
Cadeia de confiança do certificado

Quando alguém visita seu site por HTTPS, o navegador executa um handshake SSL. Durante esse processo, o navegador valida cada link da cadeia, começando pelo certificado do servidor e indo até uma raiz confiável. Essa é a PKI (Infraestrutura de Chave Pública) em ação.

Se algum link dessa cadeia estiver faltando, normalmente porque o pacote da CA não foi instalado, o navegador não poderá concluir a validação. O resultado? Avisos de segurança como “Sua conexão não é privada” ou “Certificado não confiável”.


Por que o pacote de CAs é importante para a segurança SSL

O pacote da CA tem várias funções essenciais, além de fazer com que o ícone do cadeado seja exibido.

Compatibilidade com navegadores
Diferentes navegadores e sistemas operacionais mantêm diferentes repositórios de certificados confiáveis. Seu pacote de CA garante a compatibilidade entre navegadores de desktop, dispositivos móveis, clientes de e-mail e ferramentas de API. Isso é especialmente importante para versões mais antigas de navegadores que podem não ter os certificados intermediários mais recentes.

Proteção contra ameaças à segurança
Um pacote de CA configurado corretamente ajuda a evitar ataques do tipo man-in-the-middle, verificando a autenticidade do certificado em vários níveis. A cadeia de certificados torna a falsificação quase impossível, pois cada certificado é assinado criptograficamente pelo certificado acima dele.

Atendendo aos requisitos de conformidade
Muitos setores exigem a configuração adequada de SSL/TLS:

  • O PCI DSS exige a transmissão segura dos dados do titular do cartão
  • O GDPR exige medidas de segurança apropriadas para dados pessoais
  • A HIPAA exige comunicação segura para informações de saúde

Um pacote de CA ausente ou configurado incorretamente pode colocar você fora de conformidade, mesmo que o certificado em si seja válido.


Como obter seu pacote da CA

Você não precisa criar um pacote CA do zero todas as vezes. Aqui estão as principais maneiras de você obter um:

1. Da sua autoridade de certificação
Quando você compra um certificado SSL de provedores como Sectigo, DigiCert ou GeoTrust, eles normalmente fornecem o pacote da CA junto com o seu certificado de servidor. Para os clientes do SSL Dragon, você encontrará o pacote da CA no painel de controle do certificado logo após a emissão.

2. Faça download dos repositórios oficiais da CA
A maioria das principais autoridades de certificação mantém repositórios públicos nos quais você pode fazer download de certificados raiz e intermediários. Sectigo, DigiCert, Let’s Encrypt e outras CAs publicam suas cadeias de certificados em seus sites de suporte.

3. Extrair do armazenamento de certificados
Os sistemas operacionais mantêm armazenamentos confiáveis de certificados que você pode acessar:

  • Windows: Use certmgr.msc para acessar o gerenciador de certificados
  • Linux/macOS: Diretório /etc/ssl/certs/

Como criar um pacote de CA (guia passo a passo)

Às vezes, é necessário criar um pacote de CA manualmente – talvez você tenha recebido apenas arquivos de certificados individuais. Veja a seguir como você pode fazer isso corretamente.

Pré-requisitos

Antes de começar, verifique se você tem:

  • Seu(s) arquivo(s) de certificado intermediário
  • Seu arquivo de certificado raiz
  • Um editor de texto (Notepad++, nano, vim ou até mesmo o Notepad básico)

Método 1: Usando um editor de texto

Esse método funciona em qualquer plataforma e não requer conhecimento técnico.

Etapa 1: Localize seus arquivos de certificado

Localize os arquivos de certificado fornecidos por sua CA. Você está procurando os certificados intermediários e raiz, não o certificado do servidor. Os arquivos geralmente têm extensões como .crt, .pem ou .cer.

Etapa 2: Abra cada certificado

Abra seu certificado intermediário em um editor de texto. Você verá conteúdo como:

-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----

As partes importantes são o cabeçalho —–BEGIN CERTIFICATE—– e o rodapé —–END CERTIFICATE—–. Certifique-se de que ambos estejam presentes e completos.

Etapa 3: Crie seu arquivo de pacote

Crie um novo arquivo em branco em seu editor de texto. Dê a ele o nome de yourdomain.ca-bundle ou ca-bundle.crt. A extensão não é muito importante – você pode usar .pem, .crt ou .ca-bundle.

Etapa 4: Copie os certificados na ordem correta

Essa é a etapa crítica. A ordem deve ser:

  1. Primeiro: seu certificado intermediário (aquele que assinou diretamente o certificado do servidor)
  2. Segundo: qualquer certificado intermediário adicional (se você tiver vários)
  3. Último: o certificado raiz

Copie cada certificado completamente, incluindo as linhas INÍCIO e FIM. Não adicione espaços extras ou linhas em branco entre os certificados.

Aqui está a aparência de um pacote de CA correto:

-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----

Etapa 5: Salvar o arquivo

Salve o arquivo com codificação UTF-8. Verifique novamente se cada certificado começa com —–BEGIN CERTIFICATE—– e termina com —–END CERTIFICATE—– sem espaços extras.

Método 2: Usando a linha de comando

Se você se sentir confortável com a linha de comando, poderá criar um pacote de CA em segundos.

Linux/macOS:

cat intermediate.crt root.crt > ca-bundle.crt

Prompt de comando do Windows:

copy /b intermediate.crt + root.crt ca-bundle.crt

Esses comandos concatenam os arquivos de certificado em ordem. Certifique-se de que você os liste na sequência correta: primeiro os certificados intermediários, depois o certificado raiz.

Erros comuns que você deve evitar

  • Ordem incorreta do certificado – O erro mais comum é colocar o certificado raiz primeiro
  • Espaços em branco extras – Não adicione linhas em branco entre os certificados
  • Cabeçalhos ausentes – Copie todo o bloco do certificado, incluindo as linhas BEGIN/END
  • Incluindo o certificado do servidor – O pacote de CA deve conter apenas certificados intermediários e raiz

Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo

Verificando seu pacote de CA

Antes de você instalar o pacote da CA em um servidor de produção, verifique se ele está correto.

Usando o OpenSSL

O OpenSSL é a ferramenta padrão para trabalhar com certificados SSL:

openssl verify -CAfile ca-bundle.crt your-server-certificate.crt

Se tudo estiver correto, você verá:

your-server-certificate.crt: OK

Se houver um problema, o OpenSSL informará a você o que está errado, como a falta de certificados ou o pedido incorreto.

Uso de ferramentas on-line de verificação de SSL

O SSL Dragon oferece uma ferramenta gratuita de verificação de SSL que valida sua cadeia de certificados. Depois que o certificado estiver instalado, a ferramenta irá:

  • Mostrar a cadeia completa de certificados
  • Identificar quaisquer certificados intermediários ausentes
  • Verifique as datas de expiração do certificado
  • Teste a compatibilidade entre diferentes navegadores

Instalando o pacote CA em seu servidor

O processo de instalação varia de acordo com a plataforma. Aqui está uma visão geral rápida:

Apache. Use a diretiva SSLCertificateChainFile:

SSLCertificateChainFile /path/to/ca-bundle.crt

Nginx. Especifique o certificado confiável:

ssl_trusted_certificate /path/to/ca-bundle.crt;

cPanel/WHM. Use a interface da Web para colar o pacote de CA no campo “Certificate Authority Bundle” (Pacote de autoridade de certificação).

IIS (Windows Server). Importe certificados intermediários para “Intermediate Certification Authorities” (Autoridades de certificação intermediárias) e certificados raiz para “Trusted Root Certification Authorities” (Autoridades de certificação raiz confiáveis) usando o Gerenciador de certificados.

Para obter guias de instalação detalhados específicos para seu ambiente de servidor, consulte a documentação de instalação do SSL Dragon.


Problemas e soluções comuns do pacote da CA

Problema 1: Erro “Cadeia de certificados incompleta

Sintomas: As ferramentas de teste de SSL relatam a falta de um certificado intermediário ou alguns navegadores mostram avisos.

Solução: Faça o download do pacote completo de certificados no site da CA. Verifique se você incluiu TODOS os certificados intermediários, e não apenas um. Verifique se a ordem está correta.

Problema 2: Pedido de certificado incorreto

Sintomas: Erros de validação de certificado ou avisos intermitentes de SSL nos navegadores.

Solução: Reorganize seus certificados de modo que aquele que assinou o certificado do servidor venha primeiro, e o certificado raiz, por último. Salve e faça upload novamente para o servidor.

Problema 3: Confusão de formato PKCS#7

Sintomas: Você recebeu um arquivo .p7b e não tem certeza se precisa de um pacote de CA.

Solução: Os arquivos PKCS#7 (.p7b) já incluem o pacote CA. Você não precisa criar um arquivo separado. Se o seu servidor exigir o formato PEM, você deverá convertê-lo:

openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem

Problema 4: Certificado intermediário expirado

Sintomas: Erros repentinos de SSL em um site que funcionava anteriormente.

Solução: Baixe o pacote de CA mais recente de sua autoridade de certificação. As principais CAs publicam intermediários atualizados antes que os antigos expirem. Substitua o pacote antigo pelo novo.


Práticas recomendadas do pacote da CA

  • Mantenha backups – Armazene o certificado do servidor, a chave privada e o pacote CA em um local seguro. Você precisará deles se mudar de servidor ou reinstalar.
  • Use somente fontes oficiais – Sempre obtenha o pacote da CA no site oficial da autoridade de certificação. Os repositórios de terceiros podem estar desatualizados ou comprometidos.
  • Monitore as datas de expiraçãoOs certificados raiz e intermediários também expiram. Defina lembretes para verificar se há atualizações da CA.
  • Teste antes da produção – Teste primeiro as novas configurações em um ambiente de preparação. Use as ferramentas de teste de SSL para verificar se tudo funciona antes de passar para a produção.
  • Documente sua configuração – Faça anotações sobre os certificados que você está usando, onde eles estão instalados e as datas de renovação. No futuro, você vai gostar disso.

Perguntas frequentes sobre o pacote da CA

Posso gerar um pacote de CA automaticamente?
Não. Ao contrário de um CSR, que você mesmo gera, um pacote de CA deve vir da sua autoridade de certificação. Você pode criar um manualmente combinando os certificados que eles fornecem.

Qual é a diferença entre um pacote de CA e uma cadeia de certificados?
O pacote da CA contém apenas os certificados intermediário e raiz. A cadeia completa de certificados inclui o certificado do servidor e o pacote de CA.

Todos os certificados exigem um pacote de CA?
A maioria dos certificados SSL/TLS exige um. A principal exceção são os certificados no formato PKCS#7 (arquivos .p7b), que incluem os intermediários no próprio arquivo.

O pacote da CA é o mesmo para todos os certificados de uma CA?
Em geral, sim. Os certificados do mesmo tipo (DV, OV ou EV) da mesma CA normalmente usam os mesmos certificados intermediários.


Obtenha seu certificado SSL com o pacote CA sem complicações da SSL Dragon

A configuração de certificados SSL não precisa ser complicada. O SSL Dragon fornece tudo o que você precisa para uma instalação tranquila, incluindo pacotes de CA pré-configurados, guias de instalação detalhados e suporte especializado.

Por que os clientes do SSL Dragon evitam as dores de cabeça do pacote CA:

Pacotes de instalação completos – Certificado de servidor, chave privada e pacote de CA juntos
Pacotes pré-validados – Todos os certificados são testados antes da entrega
Suporte especializado 24 horas por dia, 7 dias por semana – Pessoas reais que entendem de SSL
Emissão rápida – Certificados validados por domínio em apenas 5 minutos
Compatibilidade universal – 99,99% de reconhecimento do navegador
Garantia de reembolso de 25 dias – Experimente sem riscos

Procurar certificados SSL

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Uma imagem detalhada de um dragão em voo
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.