Remover a frase secreta do arquivo de chave
Se você tiver uma máquina Linux com OpenSSL instalado, será possível remover a frase secreta.
-
Renomeie seu arquivo de chave original.
mv yourdomain.key yourdomain.key.orig
-
Gere uma nova chave SSH sem frase secreta.
openssl rsa -in yourdomain.key.orig -out yourdomain.key
A senha da chave será solicitada quando você executar esse comando.
Para obter mais informações sobre o OpenSSL, confira a documentação do OpenSSL.
Converter a chave ou o certificado TLS em formato PEM
Se você tiver o OpenSSL instalado, converta sua chave no formato PEM usando o comando openssl
. Por exemplo, você pode converter uma chave do formato DER para o formato PEM.
openssl rsa -in yourdomain.der -inform DER -out yourdomain.key -outform PEM
Se não tiver, você pode usar a ferramenta SSL Converter para converter seu certificado em formato PEM. Para obter mais informações, confira a documentação da ferramenta SSL Converter.
Instalação parada após upload de chave
Se o sua instância do GitHub Enterprise Server não responder após o upload de uma chave TLS, entre em contato com o Suporte do GitHub Enterprise e forneça detalhes específicos, incluindo uma cópia do certificado TLS. Verifique se sua chave privada não está incluída.
Erros de validade de certificado
Se não for possível verificar a validade de um certificado TLS, clientes como navegadores da Web e Gits de linha de comando exibirão uma mensagem de erro. Isso costuma acontecer com certificados autoassinados e certificados de "raiz encadeada" emitidos a partir de um certificado raiz intermediário não reconhecido pelo cliente.
Se você estiver usando um certificado assinado por uma autoridade de certificação (CA), o arquivo de certificado que você carregar no GitHub Enterprise Server deverá incluir uma cadeia de certificados com o certificado raiz da autoridade certificada em questão. Para criar esse arquivo, concatene toda a sua cadeia de certificados (ou "pacote de certificados") até o fim, garantindo que o certificado principal com o nome de host seja o primeiro. Na maioria dos sistemas, fazer isso é possível com um comando semelhante ao seguinte:
cat yourdomain.com.crt bundle-certificates.crt > yourdomain.combined.crt
Você deve conseguir baixar um pacote de certificados (por exemplo, bundle-certificates.crt
) da autoridade de certificação ou do fornecedor de TLS.
Instalar certificados raiz de autoridade de certificação (CA) autoassinada ou não confiável
Se o seu appliance do GitHub Enterprise Server interage na rede com outras máquinas que usam certificados autoassinados ou não confiáveis, será necessário importar o certificado raiz da CA de assinatura para o armazenamento geral do sistema a fim de acessar esses sistemas por HTTPS. Se quiser usar um certificado assinado por uma autoridade de certificação interna, você deve instalar o certificado raiz e todos os certificados intermediários.
-
Obtenha o certificado raiz da autoridade de certificação local e verifique se ele está no formato PEM.
-
Copie o arquivo para o seu appliance do GitHub Enterprise Server via SSH como usuário "admin" na porta 122.
scp -P 122 rootCA.crt admin@HOSTNAME:/home/admin
-
Conecte-se ao shell administrativo do GitHub Enterprise Server via SSH como usuário "admin" na porta 122.
ssh -p 122 admin@HOSTNAME
-
Importe o certificado no armazenamento geral do sistema.
ghe-ssl-ca-certificate-install -c rootCA.crt
-
Para aplicar a configuração, execute o comando a seguir.
Note
Durante uma execução de configuração, os serviços do sua instância do GitHub Enterprise Server podem ser reiniciados, o que pode causar um breve tempo de inatividade para os usuários.
Shell ghe-config-apply
ghe-config-apply
-
Aguarde a conclusão da execução de suas configurações.
Atualizar um certificado TLS
Com o utilitário de linha de comando ghe-ssl-certificate-setup
, é possível gerar um certificado autoassinado ou atualizar um certificado TLS existente para o sua instância do GitHub Enterprise Server. Para obter mais informações, confira "Utilitários de linha de comando".
Solucionar problemas com comunicações de servidor após atualizar um certificado TLS
Caso encontre problemas com a comunicação ou outros problemas no servidor após atualizar um certificado, pode haver arquivos ausentes ou links simbólicos na instalação. Verifique a saída do blog para ver a mensagem a seguir.
certificate verify failed (unable to get issuer certificate)
Se você vir essa mensagem, é provável que haja certificados ausentes ou configurados incorretamente. Isso pode impedir que os serviços de aplicativo se comuniquem entre si.
Para corrigir esse problema:
-
Faça backup do seu diretório de certificados TLS atual.
-
Para atualizar certificados e conteúdo que podem estar faltando no diretório de
/etc/ssl/certs
, execute o comando a seguir.Shell sudo update-ca-certificates --verbose --fresh
sudo update-ca-certificates --verbose --fresh
Caso ainda tenha problemas, entre em contato com o seu administrador do site.