Certificado SSL
HTTPS com certificado próprio ou Let's Encrypt (HTTP-01 e DNS-01).
Certificado SSL
Menu: Sistema → Configurações → Certificado SSL
Rota no sistema: /systemParameters/ssl
Gerencia o certificado HTTPS da aplicação. Sem certificado válido, navegadores exibem aviso de segurança (ou o sistema usa certificado autoassinado temporário).
Tela principal
Certificado atual
Mostra domínio, emissor, validade, fingerprint SHA-256 e domínios SAN. Estados possíveis:
| Status | Significado |
|---|---|
| Ativo | Certificado gerenciado em uso. |
| Auto-assinado | Fallback — navegadores não confiam. |
| Expirado / Expirando | Renovar com urgência. |
| Aguardando reload do nginx | Arquivo já salvo; serviço web ainda não recarregou. |
Ações: Trocar / Novo certificado, Renovar agora (Let's Encrypt HTTP-01), Ver histórico.
Histórico
Lista certificados anteriores. É possível ativar um certificado guardado ou remover entradas antigas.
Botões superiores: Ajuda, Recarregar, Trocar / Novo certificado.
Assistente: novo certificado (4 passos)
Passo 1 — Tipo
| Opção | Quando usar |
|---|---|
| Enviar meu próprio certificado | Você já possui .crt/.pem e chave .key de DigiCert, GoDaddy, wildcard, etc. |
| Gerar com Let's Encrypt | Certificado gratuito, 90 dias, renovação automática (HTTP-01). Recomendado na maioria dos casos. |
Passo 2 — Detalhes
Upload manual:
- Cole certificado PEM, chave privada e cadeia intermediária (opcional).
- Use Validar par antes de aplicar — o sistema mostra preview (CN, SAN, validade).
- Certificados autoassinados ou expirados geram aviso ou bloqueio.
Let's Encrypt:
- Domínio — exatamente o FQDN que aponta para este servidor (sem
http://). - Email de contato — avisos de vencimento.
- Renovar automaticamente — cron quando faltam 30 dias (HTTP-01).
Passo 3 — Validação (Let's Encrypt)
| Método | Requisitos | Renovação |
|---|---|---|
| HTTP-01 (recomendado) | IP público, porta 80 acessível externamente, DNS apontando para o servidor | Automática (~60 dias) |
| DNS-01 (redes privadas) | Criar registro TXT no painel DNS; funciona atrás de firewall/IP privado | Manual — email de aviso antes do vencimento |
Passo 4 — Confirmação / Desafio DNS
- HTTP-01: resumo e aplicação — nginx recarrega.
- DNS-01: exibe nome e valor do TXT; após criar no DNS, marque confirmação e Validar e emitir.
Aplicar ou trocar certificado recarrega o nginx e pode reiniciar conexões TLS ativas. Prefira janela de manutenção.
Após aplicar
Se o fingerprint do nginx não coincidir com o arquivo salvo, a tela indica Aguardando reload. Em alguns casos há redirecionamento automático para o domínio HTTPS do novo certificado.
Solução de problemas
| Problema | Verificar |
|---|---|
| HTTP-01 falha | Porta 80 aberta, DNS A/AAAA correto, proxy na frente |
| DNS-01 falha | Propagação do TXT (dig _acme-challenge.dominio TXT) |
| Painel inacessível após troca | Acessar pelo domínio do certificado ou aguardar redirect automático |
| Renovação não automática | Método DNS-01 exige renovação manual |