As instruções abaixo ensinam a adicionar um certificado Cross Signed (“CN=Sectigo Public Server Authentication Root R46/E46” assinado por “Issuer=USERTrust RSA Certification Authority”) no Windows e a remover o certificado Self Signed (“CN=Sectigo Public Server Authentication Root R46/E46” com “Issuer=Sectigo Public Server Authentication Root R46/E46”) no Microsoft IIS.
Esse processo garante que a cadeia de certificação esteja completa e seja confiável para a maioria dos navegadores.
O que é um Certificado Cross-Sign? As Autoridades Certificadoras (CAs) normalmente controlam vários certificados raiz. Em geral, quanto mais antigo o certificado raiz, mais amplamente distribuído ele é em plataformas mais antigas. Para aproveitar esse fato, as CAs geram certificados cross-sign para garantir que seus certificados sejam suportados pelo maior número possível de sistemas.
Um certificado cross-sign é aquele em que um certificado raiz é usado para assinar outro certificado raiz.
Baixe os certificados da cadeia (Raízes e Intermediárias).
OBS: as raízes também foram enviadas no arquivo ZIP junto com o certficado.
Para os novos certificados da Sectigo, é necessário instalar três certificados da cadeia de raízes:
DV (Validação de Domínio) e OV (Validação Organizacional):
- Raiz Principal:
- USERTrustRSACertificationAuthority.crt
- Raiz Intermediária 1:
- SectigoPublicServerAuthenticationRootR46_USERTrust.crt
- Raiz Intermediária 2:
- SectigoPublicServerAuthenticationCADVR36.crt (DV)
- SectigoPublicServerAuthenticationCAOVR36.crt (OV)
Baixe os certificados raiz nos links abaixo:
USERTrustRSACertificationAuthority.crt
SectigoPublicServerAuthenticationRootR46_USERTrust.crt
SectigoPublicServerAuthenticationCADVR36.crt (DV)
SectigoPublicServerAuthenticationCAOVR36.crt (OV)
Passo 1: Instalando o(s) Certificado(s) de Raiz Intermediária:
Para começar a configurar a cadeia do seu certificado SSL no IIS do Windows, você precisa importar o certificado intermediário cross-sign correto no repositório Intermediate Certification Authorities.
Siga estas etapas para importar o certificado intermediário cross-sign:
- Pressione Win + R, digite certlm.msc (para Current Machine) e pressione Enter.
- No Gerenciador de Certificados, navegue até Intermediate Certification Authorities → Certificates
- Clique com o botão direito em Certificates e selecione All Tasks → Import
- Siga o Certificate Import Wizard:
- Clique em Next
- Clique em Browse e selecione o certificado intermediário baixado
- Escolha Place all certificates in the following store
- Confirme que Intermediate Certification Authorities está selecionado
- Clique em Finish
- Depois de importado, o certificado aparecerá em Intermediate Certification Authorities → Certificates
Passo 2: Remover o Certificado Self-Signed Root R46/E46
Para manter uma cadeia SSL segura e confiável, remova os Certificados R46/E46 Self-Signed (se existirem).
Consulte as imagens abaixo para identificar os certificados Self Signed R46/E46.
Sectigo Public Server Authentication Root R46 - Self Signed:
Sectigo Public Server Authentication Root E46 - Self Signed:
Instruções para remoção:
- Em Trusted Root Certification Authorities → Certificates
- Procure por:
- Sectigo Public Server Authentication Root R46
- E/OU Sectigo Public Server Authentication Root E46
- Clique com o botão direito no certificado e selecione Delete
- Confirme quando solicitado
Passo 3: Exportar o Certificado SSL como Arquivo PFX
Seu certificado SSL deve ser exportado com sua chave privada como um arquivo .pfx, necessário para importação no IIS.
Instruções:
- Abra o Certificate Manager (certmgr.msc ou certlm.msc)
- Vá em Personal → Certificates
- Encontre o certificado emitido (normalmente nomeado pelo domínio)
- Clique com o botão direito e selecione All Tasks → Export
- No Export Wizard:
- Escolha Yes, export the private key
- Selecione .PFX e marque:
- Include all certificates in the certification path
- Export all extended properties
- Enable certificate privacy
- Defina uma senha
- Clique em Browse, escolha o diretório, nomeie o arquivo e salve o .pfx
Mais detalhes: Exportando o certificado como PFX no Windows
Passo 4: Importar e Vincular o Certificado no IIS
Depois de exportar o arquivo PFX, importe-o no IIS e vincule o certificado ao seu site.
- Abra o IIS Manager
- Selecione o nome do servidor
- Clique em Server Certificates
- No painel Actions, clique em Import
- Selecione o arquivo .pfx, digite a senha e clique em OK
- Depois de importado, acesse:
- Sites → Seu Website
- Clique em Bindings
- No menu Site Bindings:
- Clique em Add ou Edit
- Em Type, selecione https
- IP Address: All Unassigned ou IP específico
- Port: 443
- SSL Certificate: selecione o nome amigável do certificado
- Clique em OK para vincular o certificado
Passo 5: Reiniciar o IIS (Opcional)
Para aplicar as alterações imediatamente, reinicie o IIS.
Instruções:
- Abra o Command Prompt como Administrador
- Execute: iisreset
- Você também pode reiniciar via console de Services.
Passo 6: Verificar a Cadeia de Certificação
Após concluir os passos acima, verifique se a cadeia está correta:
https://www.sslshopper.com/ssl-checker.html
A ferramenta SSL Checker verifica se toda a cadeia de certificados — incluindo intermediários e cross-sign — está instalada corretamente e confiável.
Observação: Adicionar o certificado cross-sign ajuda a restabelecer confiança em dispositivos antigos que podem não reconhecer novos certificados raiz.
