...
A partir da atualização 1.7.1 (incluir link), a configuração de HTTPS pode ser realizada diretamente pelo Painel de controle da plataforma, acessando com o usuário wcmadmin. O passo a passo para realizar essa configuração pode ser conferido na documentação de Configurações do sistema.
Procedimentos de configuração de SSL
Navegue nos passos abaixo para configuração do SSL no servidor de aplicação:
| Painel |
|---|
|
Observação interna: A explicação abaixo foi repassada ao artigo: https://centraldeatendimento.fluig.com/hc/pt-br/articles/360027390832 (Como configurar a plataforma com o protocolo HTTPS) Caso tenha alguma alteração, lembrar de repassar a esse artigo! |
para isso é necessário seguir os passos abaixo.
| Nota |
|---|
|
Clientes cloud precisam entrar em contato com o time de Cloud para que eles realizem esse procedimento. |
01. Acessar a plataforma com o usuário wcmadmin.
02. No menu principal, acionar Painel de Controle, logo depois verificar o agrupador WCM e acionar Configurações do sistema.
03. Na aba Portal, marcar a opção HTTPS no campo Protocolo.
| Painel |
|---|
Será apresentada uma mensagem informando que, ao alterar o protocolo para HTTPS, será necessário configurá-lo. A configuração pode ser realizada manualmente, conforme as instruções da documentação de Configuração HTTPS da plataforma ou em tela, conforme os passos abaixo. |
04. Acionar Configurar para prosseguir com a configuração em tela.
05. Selecionar no campo Plataforma como será configurado o protocolo HTTPS. As opções são: Apache, Nginx ou TOTVS Fluig Plataforma.
| Painel |
|---|
Apache ou Nginx normalmente são utilizados quando a plataforma é configurada através de um proxy reverso. |
06. Configurar o certificado digital de acordo com a opção escolhida.
| Painel |
|---|
| Deck of Cards |
|---|
| | Card |
|---|
| label | TOTVS Fluig Plataforma |
|---|
|  Image Added Veja a imagem
Preencha os campos abaixo: - Certificado
Selecione o certificado digital que será utilizado para estabelecer a conexão segura da plataforma. Os formatos de arquivos permitidos são: .crt, .pem, .p12, .pfx - Senha
Informe a senha do certificado digital para estabelecer a conexão segura da plataforma.
|
| Card |
|---|
| Image Added Veja a imagem Primeiramente, preencha os campos abaixo: - Caminho do certificado
Informe o caminho completo (com extensão .crt, .pem ou .p12), do certificado digital gerado para estabelecer a conexão segura da plataforma. - Caminho da chave
Informe o caminho completo (com extensão .key ou .pem), da chave privada do certificado para estabelecer a conexão segura da plataforma.
Após isso, acione a opção Gerar arquivo para gerar um template com as configurações HTTPS. Por último, baixe o arquivo gerado e utilize para finalizar a configuração na plataforma selecionada (Nginx ou Apache). |
|
|
07. Acionar Salvar.
| Painel |
|---|
Serão realizadas algumas verificações, para validar se o certificado está correto, se a senha informada corresponde ao certificado, entre outras. Se estiver tudo certo, a plataforma realiza as alterações necessárias nos arquivos domain.xml e host.xml, para concluir a configuração. Ao final, será apresentada a mensagem de sucesso. |
08. Reiniciar os serviços da plataforma.
| Painel |
|---|
Após configurar o HTTPS na instalação da plataforma, é recomendável conferir se está funcionando corretamente. O teste pode ser feito através da ferramenta SSL Checker. Com a configuração, será possível acessar também o aplicativo Fluig Mobile com HTTPS, sem necessidade de configurações adicionais. |
Configuração de HTTPS manual
...
Caso opte por fazer a configuração manual ou esteja em uma atualização anterior a 1.7.1, os procedimentos de configuração de SSL devem ser realizados conforme os passos abaixo:
| Painel |
|---|
|
Observação interna: A explicação abaixo foi repassada ao artigo: https://centraldeatendimento.fluig.com/hc/pt-br/articles/360027390832 (Como configurar a plataforma com o protocolo HTTPS) Caso tenha alguma alteração, lembrar de repassar a esse artigo! |
| Deck of Cards |
|---|
| effectDuration | 0.5 |
|---|
| history | false |
|---|
| id | ssl |
|---|
| effectType | fade |
|---|
|
| Card |
|---|
| default | true |
|---|
| id | 1 |
|---|
| label | Passo 1 |
|---|
|
- Parar os serviços do Fluig (fluig, fluig_indexer, fluig_RealTime e cache, caso estiver utilizando cache externo e.g: MemCached ou redis).
|
| Card |
|---|
| default | true |
|---|
| id | 2 |
|---|
| label | Passo 2 |
|---|
|
- No arquivo domain.xml, localizado em [Instalação Fluig]/appserver/domain/configuration, incluir a tag <https-listener> no subsystem "undertow". Não deve ser retirada a tag contendo as configurações HTTP.
- Na tag HTTP, acrescente o atributo proxy-address-forwarding="true" conforme mostrado abaixo:
- Caso deseje restringir o tráfego de cookie de sessão em conexões seguras (HTTPS), basta incluir nas configurações do subsystem undertow a tag session-cookie informando o atributo secure ="true". (Opcional)
| Bloco de código |
|---|
| language | xml |
|---|
| theme | Eclipse |
|---|
| title | domain.xml |
|---|
| <subsystem xmlns="urn:jboss:domain:undertow:3.1">
<...>
<server name="default-server">
<http-listener max-post-size="1073741824" name="default" socket-binding="http" proxy-address-forwarding="true"/> <!-- 2- Adicionar nesta linha o atributo -->
<https |
|
|
| Deck of Cards |
|---|
| effectDuration | 0.5 |
|---|
| history | false |
|---|
| id | ssl |
|---|
| effectType | fade |
|---|
|
| Card |
|---|
| default | true |
|---|
| id | 1 |
|---|
| label | Passo 1 |
|---|
| - Parar os serviços do Fluig (fluig, fluig_indexer, fluig_RealTime e cache, caso estiver utilizando cache externo e.g: MemCached ou redis).
| Card |
|---|
| default | true |
|---|
| id | 2 |
|---|
| label | Passo 2 |
|---|
| - No arquivo domain.xml, localizado em [Instalação Fluig]/appserver/domain/configuration, incluir a tag <https-listener> no subsystem "undertow". Não deve ser retirado a tag contendo as configurações HTTP.
- Na tag HTTP, acrescente o atributo proxy-address-forwarding="true" conforme mostrado abaixo:
- Caso deseje restringir o tráfego de cookie de sessão em conexões seguras (HTTPS), basta incluir nas configurações do subsystem undertow a tag session-cookie informando o atributo secure ="true". (Opcional)
| Bloco de código |
|---|
| language | xml |
|---|
| theme | Eclipse |
|---|
| title | domain.xml |
|---|
| <subsystem xmlns="urn:jboss:domain:undertow:3.1">
<...>
<server name="default-server">
<http-listener max-post-size="1073741824"1073741824" name="https" namesecure="defaulttrue" socketsecurity-bindingrealm="httpTOTVSTech" proxysocket-address-forwardingbinding="truehttps"/> <!-- 21- AdicionarIncluir nestaesta linha para validacao odo atributocertificado -->
<...>
<https-listener max-post-size="1073741824"</server>
<servlet-container name="httpsdefault" securestack-trace-on-error="true" security-realm="TOTVSTech" socket-binding="httpslocal-only">
<...>
<session-cookie http-only="true" secure="true"/> <!-- 13- Incluir esta linha para validacao do certificado restringir o trafego de cookie de sessao -->
</servlet-container>
<...>
</server>
<servlet-container name="default" stack-trace-on-error="local-only">
<...>
<session-cookie http-only="true" secure="true"/> <!-- 3- Incluir esta linha para restringir o trafego de cookie de sessao -->
</servlet-container>
<...>
</subsystem> |
| | Card |
|---|
| | Âncora |
|---|
alias | alias | A partir da atualização 1.7.0 (Lake), a tag <security-realm> não existirá mais, porém pode ser incluída conforme desejo do usuário em habilitar o uso do HTTPS. Nesse caso, será preciso procurar a tag <security-realm> no arquivo host.xml.
Disponibilizamos as instruções de configuração do repositório de certificados no formato PKCS12 (p12) portanto, siga as instruções abaixo: - Incluir a tag <server-identities></server-identities> juntamente com <ssl> e o <keystore> conforme exemplicado no código abaixo;
- No atributo path, informe o diretório do repositório de certificados (keystore.p12).
- Em key-password e keystore-password, substitua a valor "suasenha" pela senha utilizada na criação do repositório de certificados (keystore).
| Nota |
|---|
| Em <security-realm name="ApplicationRealm"> também contém as configurações de certificado porém, suas informações não devem ser modificadas, deixando os valores padrões salvos. |
| Bloco de código |
|---|
| language | xml |
|---|
| theme | Eclipse |
|---|
| title | host.xml |
|---|
| <security-realm name="TOTVSTech">
<server-identities>
<ssl>
<keystore path="certs\fluig.p12" keystore-password="suasenha" key-password="suasenha" relative-to="jboss.domain.config.dir"/>
</ssl>
</server-identities>
</security-realm> |
| Dica |
|---|
O diretório "certs" se refere à pasta onde os certificados são guardados. Recomendamos que esse diretório seja criado dentro do volume, para evitar que, em uma atualização ou migração de tecnologia, a pasta seja afetada. Dúvidas sobre a utilização do OpenSSL ou sobre os comandos de exportação do PKCS12 (p12), consulte a FAQ Utilizando OpenSSL para configurar HTTPS. |
|
| Card |
|---|
| - A partir da atualização 1.7.0 (Lake), a tag <security-realm> não existirá mais, porém pode ser incluída conforme desejo do usuário em habilitar o uso do HTTPS. Nesse caso, será preciso procurar a tag <security-realm> no arquivo host.xml.
Disponibilizamos as instruções de configuração do repositório de certificados no formato PKCS12 (p12) portanto, siga as instruções abaixo: - Incluir a tag <server-identities></server-identities> juntamente com <ssl> e o <keystore> conforme exemplicado no código abaixo;
- No atributo path, informe o diretório do repositório de certificados (keystore.p12).
- Em key-password e keystore-password, substitua a valor "suasenha" pela senha utilizada na criação do repositório de certificados (keystore).
| Nota |
|---|
| Em <security-realm name="ApplicationRealm"> também contém as configurações de certificado porém, suas informações não devem ser modificadas, deixando os valores padrões salvos. |
| Bloco de código |
|---|
| language | xml |
|---|
| theme | Eclipse |
|---|
| title | host.xml |
|---|
| <security-realm name="TOTVSTech">
<server-identities>
<ssl>
<keystore path="certs\fluig.p12" keystore-password="suasenha" key-password="suasenha" relative-to="jboss.domain.config.dir"/>
</ssl>
</server-identities>
</security-realm> |
| Dica |
|---|
O diretório "certs" se refere à pasta onde os certificados são guardados. Recomendamos que esse diretório seja criado dentro do volume, para evitar que, em uma atualização ou migração de tecnologia, a pasta seja afetada. Dúvidas sobre a utilização do OpenSSL ou sobre os comandos de exportação do PKCS12 (p12), consulte a FAQ Utilizando OpenSSL para configurar HTTPS. |
|
| Card |
|---|
|
- Iniciar novamente os serviços do Fluig em sua ordem correta (cache, caso estiver utilizando cache externo e.g: MemCached ou redis, fluig_indexer, fluig_RealTime e fluig).
- O acesso será realizado via HTTPS, na porta 8443.
|
| Card |
|---|
|
- Após configurar o HTTPS na instalação do TOTVS Fluig Plataforma, é necessário ajustar o domínio de acesso com o novo protocolo.
- Para isto, será necessário acessar a plataforma com o usuário wcmadmin, e nas configurações do sistema, na aba Portal, alterar o Protocolo para HTTPS. Caso não esteja utilizando um web server, é necessário também informar a Porta de acesso do servidor da plataforma. Para mais informações, consulte a documentação Gerenciar configurações do sistema
| | Card |
|---|
| - Iniciar novamente os serviços do Fluig em sua ordem correta (cache, caso estiver utilizando cache externo e.g: MemCached ou redis, fluig_indexer, fluig_RealTime e fluig).
O acesso será realizado via HTTPS, na porta 8443- .
|
|
| Nota |
|---|
É recomendável revisar o limite de tempo das requisições lentas, como forma de trazer mais segurança à plataforma. Acesse a documentação de Prevenção de ataques DDoS Slow Post e Slow Headers e saiba mais. |
Configurações adicionais
...
Configuração para utilização do Fluig Studio com SSL
...
| Nota |
|---|
|
- Não é permitido utilizar barra invertida ou contra barras "\" para informar os caminhos do certificado e chave privada no arquivo package.json. Caso for utilizada, o serviço de RealTime (Node) não irá subir.
- Caso o certificado possua uma senha na chave informada, é necessário remover a senha. Caso contrário, o Node.js não será iniciado.
- Se o servidor possuir proxy, é necessário liberar as portas do serviço de notificações em tempo real para SSL nesse proxy.
- Caso seu certificado e chave estiverem no formato de repositório de certificados PKCS12 (p12), consulte a FAQ Utilizando OpenSSL para configurar HTTPS para obter os comandos de exportação dos mesmos. Para isso, é preciso que o pacote OpenSSL esteja instalado no servidor.
- Importante mencionar que a linha que contém a porta nas configurações do SSL no arquivo package.json deve ser apagada.
|
Para isso, o arquivo [Instalação node]/fluig.rt/package.json deve ser editado, alterando as seguintes informações abaixo. Em sistemas operacionais Linux, o arquivo package.json fica localizado em [Instalação node]/bin/fluig.rt/.
| Bloco de código |
|---|
| language | js |
|---|
| theme | Eclipse |
|---|
| title | package.json |
|---|
|
"ssl" : {
"usessl": true,
"key": "c:/fluig/certificado/server.key",
"cert": "c:/fluig/certificado/server.crt",
"ca": "c:/fluig/certificado/server.crt"
} |
Os atributos devem ser alterados conforme abaixo:
...
Atributo
...
Descrição
...
usessl
...
Informar true, para caracterizar a utilização de configuração HTTPS
...
key
...
Informar o caminho do arquivo de chave
...
Após a alteração do package.json, o serviço RealTime (Node.js) deve ser reiniciado.
Certificado digital mobile
As plataformas de dispositivos móveis (iOS, Android) possuem limitações com relação aos certificados digitais. Por padrão, apenas o certificados homologados por elas são reconhecidos como confiáveis.
Para evitar a aquisição de certificados não homologados, é preciso consultar a documentação técnica de cada plataforma sobre a lista de certificados reconhecidos como confiáveis:
...
É necessário verificar no aparelho em: Configurações > Segurança > Credenciais Confiáveis
Na Aba Sistema existe a lista de certificados confiáveis para aquela versão do Android.
| Nota |
|---|
|
Cada versão do Android pode ter uma lista de certificados confiáveis diferente. |
| Painel |
|---|
|
A explicação acima foi repassada ao artigo: https://centraldeatendimento.fluig.com/hc/pt-br/articles/360034474534 (Erro ao informar o servidor no Android) Caso tenha alguma alteração, lembrar de repassar a esse artigo! |
Em caso de dúvidas, procure a unidade certificadora para assegurar que seu certificado é homologado pelas plataformas mencionadas acima.
...
- . Caso for utilizada, o serviço de RealTime (Node) não irá subir.
- Caso o certificado possua uma senha na chave informada, é necessário remover a senha. Caso contrário, o Node.js não será iniciado.
- Se o servidor possuir proxy, é necessário liberar as portas do serviço de notificações em tempo real para SSL nesse proxy.
- Caso seu certificado e chave estiverem no formato de repositório de certificados PKCS12 (p12), consulte a FAQ Utilizando OpenSSL para configurar HTTPS para obter os comandos de exportação dos mesmos. Para isso, é preciso que o pacote OpenSSL esteja instalado no servidor.
- Importante mencionar que a linha que contém a porta nas configurações do SSL no arquivo package.json deve ser apagada.
|
Para isso, o arquivo [Instalação node]/fluig.rt/package.json deve ser editado, alterando as seguintes informações abaixo. Em sistemas operacionais Linux, o arquivo package.json fica localizado em [Instalação node]/bin/fluig.rt/.
| Bloco de código |
|---|
| language | js |
|---|
| theme | Eclipse |
|---|
| title | package.json |
|---|
|
"ssl" : {
"usessl": true,
"key": "c:/fluig/certificado/server.key",
"cert": "c:/fluig/certificado/server.crt",
"ca": "c:/fluig/certificado/server.crt"
} |
Os atributos devem ser alterados conforme abaixo:
Atributo | Descrição |
usessl | Informar true, para caracterizar a utilização de configuração HTTPS |
key | Informar o caminho do arquivo de chave |
| cert | Informar o caminho do arquivo de certificado |
| ca | Informar o caminho do arquivo de certificado |
Após a alteração do package.json, o serviço RealTime (Node.js) deve ser reiniciado.
Certificado digital mobile
As plataformas de dispositivos móveis (iOS, Android) possuem limitações com relação aos certificados digitais. Por padrão, apenas o certificados homologados por elas são reconhecidos como confiáveis.
Para evitar a aquisição de certificados não homologados, é preciso consultar a documentação técnica de cada plataforma sobre a lista de certificados reconhecidos como confiáveis:
| Plataforma | Como consultar |
|---|
| iOS | A lista de certificados confiáveis para o iOS está disponível aqui. |
| Android | É necessário verificar no aparelho em: Configurações > Segurança > Credenciais Confiáveis Na Aba Sistema existe a lista de certificados confiáveis para aquela versão do Android. | Nota |
|---|
| Cada versão do Android pode ter uma lista de certificados confiáveis diferente. |
|
| Painel |
|---|
|
A explicação acima foi repassada ao artigo: https://centraldeatendimento.fluig.com/hc/pt-br/articles/360034474534 (Erro ao informar o servidor no Android) Caso tenha alguma alteração, lembrar de repassar a esse artigo! |
Em caso de dúvidas, procure a unidade certificadora para assegurar que seu certificado é homologado pelas plataformas mencionadas acima.
| Nota |
|---|
|
Caso o seu certificado não esteja na lista dos homologados, realize o procedimento descrito no item Procedimentos de configuração de SSL, mas lembre-se de que o arquivo .p12 que você utilizar deve conter também o certificado intermediário. Para gerar o arquivo .p12 com todos os certificados juntos siga esses passos: - Para gerar o Bundle (intermediário + root):
cat intermediario.pem root.pem > bundle.pem
- Para gerar o PEM do fluig.com:
cat fluig.crt fluig.key bundle.pem > fluig.pem
- Para gerar o PKCS#12 do fluig.com:
openssl pkcs12 -export -out fluig.p12 -inkey fluig.key -in fluig.crt -certfile bundle.pem
|
Caso o seu certificado não esteja na lista dos homologados, realize o procedimento descrito no item Procedimentos de configuração de SSL, mas lembre-se de que o arquivo .p12 que você utilizar deve conter também o certificado intermediário. Para gerar o arquivo .p12 com todos os certificados juntos siga esses passos:
...
URL do portal
Após configurar o HTTPS na instalação do TOTVS Fluig Plataforma, é necessário ajustar a URL do portal com o novo protocolo.
Para isto, será necessário acessar a plataforma com o usuário wcmadmin, e nas configurações do sistema, na aba Portal, alterar o Protocolo para HTTPS. Caso não esteja utilizando um web server, é necessário também informar a Porta de acesso do servidor da plataforma. Para mais informações, consulte a documentação Gerenciar configurações do sistema.
| Dica |
|---|
|
Você também pode conferir se sua configuração HTTPS está funcionando corretamente, através da ferramenta: https://www.sslshopper.com/ssl-checker.html
|
| Nota |
|---|
Para acessar a plataforma com HTTPS através do Fluig Mobile, basta adicionar uma conta com a nova URL do portal no aplicativo. Para mais detalhes sobre o acesso, confira a documentação por sistema (Android ou iPhone). |
| HTML |
|---|
<script>
$("b:contains('oculto')").parent().parent().hide();
</script> |