Como criar e instalar certificados SSL no Google App Engine.

Veja como configurar URL seguras para o seu aplicativo no ambiente Google App Engine


Proteger informações de clientes é primordial para qualquer negócio na web portanto vou explicar algumas coisas que você precisa entender quando for instalar um certificado SSL no seu servidor.

Provedor CA — Autoridade de Certificada a emitir certificados.

Para que seu site seja considerado seguro na web, não basta apenas gerar um certificado você tem que pedir autorização para uma empresa qualificada como CA. Sem um certificado autorizado não será possível realizar conexões 100% seguras e seu navegador irá apresentar ao cliente que o certificado do seu site não é seguro, pois não tem um Provedor CA autorizando aquele certificado.

Imagem de quando um certificado não é autorizado por um provedor CA

Exigências do Google App Engine para a criação do certificado

  • Tanto a chave quanto o certificado tem que estar no formato PEM( um arquivo de texto com essa extenção :P )
  • As chaves privadas não podem estar criptografadas( não pode haver senha para sua chave privada )
  • As chaves privadas tem que ser RSA
  • O tamanho da chave privada pode ser de no máximo 2048 bits
  • O Certificado tem que ser do tipo X.509

Criar a chave privada

Ao criar a chave privada não adicione a opção -dec3, pois essa opção vai cripotografar sua chave privada e assim você está fora das exigências do Google.

openssl genrsa -out chave_privada.pem 2048

Criar o certificado X.509

Muito cuidado ao gerar o certificado com o campo Common Name, neste campo você tem que preencher com o domínio ( incluíndo o sub-domínio que você pretende proteger ).

a dica aqui é para quem quer utilizar certificados SSL gerados pela CA RapidSSL ao executar o comando abaixo deixe o campo Email Addres e campos subsequentes vazios.

O comando abaixo irá utilizar sua chave e então gerar o certificado.

openssl req -new -x509 -key chave_privada.pem -out cert.pem

Combinando certificados: Sever + CA

Na documentação do Google explica que é preciso gerar um certificado combinado com o seu certificado acrescido do certificado autorizado pelo provedor CA.

A ordem dos certificados é primeiro o certificado gerado por você seguido dos certificados do Provedor CA.

Para isso crie um arquivo de texto com a extenção .pem, ex: certificados_combinados.pem e cole as chaves na ordem especificada.

-----BEGIN CERTIFICATE-----
server certificado
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ca certificado
-----END CERTIFICATE-----

Instalação no Google App Engine

Com o certificado e a chave privada vá na sua conta do Google Apps > Segurança > Avançadas > Configurar SSL para dominio customizado > habilitar Slots e em seguida envie a o certificado combinado e a chave privada gerada.

Depois de subir as chaves você tem que selecionar o modo de veiculação ( no meu caso SNI ) e atribuir a URL que vai ser protegida.

Feito isso salve as configurações e espera por alguns minutos e teste a URL segura.