Zarządzanie PKI ServBay (ServBay CA)

W nowoczesnym programowaniu internetowym korzystanie z HTTPS w celu zapewnienia bezpieczeństwa przesyłanych danych jest kluczowe – nawet w środowisku lokalnym. ServBay oferuje wbudowaną lokalną infrastrukturę klucza publicznego (PKI) oraz urząd certyfikacji (CA), nazywany ServBay CA, mogący wystawiać zaufane certyfikaty SSL/TLS dla lokalnych stron www. Dzięki temu unikniesz ostrzeżeń przeglądarki i odwzorujesz połączenia HTTPS jak w środowisku produkcyjnym.

W tym przewodniku dowiesz się jak zarządzać lokalnym certyfikatem głównym generowanym przez ServBay CA na macOS – ServBay User CA - ECC Root – oraz jak rozwiązywać typowe problemy związane z certyfikatami ServBay CA.

Czym jest ServBay CA?

ServBay CA to dedykowany urząd certyfikacji zaprojektowany specjalnie dla środowisk deweloperskich ServBay. Umożliwia on wystawianie różnych rodzajów certyfikatów zabezpieczających dla stron skonfigurowanych w ServBay (dawniej „hosty”), w tym:

• Certyfikaty domenowe (TLS/SSL) – umożliwiają lokalne połączenia HTTPS.
• Certyfikaty podpisu e-mailowego (S/MIME).
• Certyfikaty podpisu dokumentów (np. PDF).
• Certyfikaty podpisu kodu źródłowego.

Podczas instalacji ServBay, ServBay CA jest tworzony automatycznie, a certyfikat główny ServBay User CA - ECC Root zostaje dodany do pęku kluczy systemowych macOS i ustawiony jako zaufany. Dzięki temu wszystkie wystawione przez niego certyfikaty są akceptowane lokalnie.

Rys. 1: Interfejs zarządzania certyfikatami w ServBay

Uzyskiwanie certyfikatu SSL od ServBay CA

ServBay CA może wystawić różne typy certyfikatów pod potrzeby środowiska deweloperskiego. Zobacz poniższe odnośniki, aby dowiedzieć się, jak je uzyskać i używać:

• Jak uzyskać i zainstalować certyfikat SSL dla domeny
• Jak uzyskać i używać certyfikatu podpisu e-mail S/MIME
• Jak uzyskać i używać certyfikatu podpisu dokumentu
• Jak uzyskać i używać certyfikatu podpisu kodu

Odnawianie certyfikatu SSL wystawionego przez ServBay CA

Domyślny okres ważności certyfikatów wystawianych przez ServBay CA to 800 dni. Kiedy certyfikat się zbliża do końca ważności lub już wygasł, możesz go łatwo odnowić w panelu ServBay.

W panelu zarządzania certyfikatami, znajdź certyfikat wymagający odnowienia i kliknij ikonę odświeżenia obok niego (zwykle wygląda jak okrągła strzałka). ServBay wystawi dla Ciebie nowy certyfikat na kolejne 800 dni.

Rys. 2: Przycisk odnawiania certyfikatu

Eksport certyfikatu SSL od ServBay CA

Możesz chcieć wyeksportować certyfikat ServBay CA na inne urządzenia, maszyny wirtualne lub do konkretnej aplikacji.

W panelu zarządzania certyfikatami kliknij przycisk Eksportuj obok wybranego certyfikatu. ServBay przygotuje do pobrania archiwum .zip z certyfikatem i kluczem prywatnym.

Rys. 3: Przycisk eksportu certyfikatu

Usuwanie certyfikatu SSL od ServBay CA

Jeśli dany certyfikat jest już niepotrzebny, możesz go usunąć.

W panelu zarządzania certyfikatami kliknij przycisk Usuń obok odpowiedniego certyfikatu.

Uwaga: Certyfikaty używane aktualnie przez przypisane do nich strony (dawniej „hosty”) nie mogą zostać usunięte bezpośrednio. Najpierw należy odłączyć je od strony, a dopiero później usunąć.

Rys. 4: Przycisk usuwania certyfikatu

Jak znaleźć ServBay CA w Dostępie do pęku kluczy na macOS?

Certyfikat główny ServBay CA – ServBay User CA - ECC Root – jest instalowany w systemowym pęku kluczy macOS. Możesz go wyświetlić i zarządzać nim za pomocą aplikacji „Dostęp do pęku kluczy”.

Kroki, aby go znaleźć:

1. Otwórz aplikację „Dostęp do pęku kluczy”. Użyj wyszukiwarki Spotlight (Cmd + Spacja i wpisz Dostęp do pęku kluczy).
2. W lewym pasku bocznym, w sekcji „Pęki kluczy” wybierz System. To tam najczęściej znajduje się certyfikat ServBay CA.
3. W prawym górnym rogu wpisz w wyszukiwarkę ServBay User CA - ECC Root.
4. Znajdź certyfikat na liście wyników. Kliknij dwukrotnie, aby zobaczyć szczegóły i sprawdzić czy jest oznaczony jako „zaufany”.

Rys. 5: Wyszukiwanie ServBay CA w Dostępie do pęku kluczy

Rozwiązywanie problemów z certyfikatami na lokalnych stronach www

Jeśli po skonfigurowaniu lokalnej strony www w ServBay w przeglądarce pojawia się błąd certyfikatu (np. „Twoje połączenie nie jest prywatne” lub „NET::ERR_CERT_AUTHORITY_INVALID”), zazwyczaj oznacza to, że certyfikat główny ServBay CA nie został poprawnie zainstalowany albo system mu nie ufa, bądź są problemy z samym certyfikatem strony.

Oto najczęstsze sposoby rozwiązania tych problemów:

Ponowna instalacja głównego certyfikatu ServBay CA

Jeśli główny certyfikat ServBay CA zniknął z pęku kluczy, został uszkodzony lub system go nie ufa, możesz go ponownie zainstalować.

1. Otwórz aplikację ServBay.
2. Przejdź do panelu zarządzania ServBay.
3. W panelu wybierz zakładkę Pakiety (Packages).
4. Na liście pakietów znajdź i kliknij pozycję ServBay Root CA.
5. Kliknij przycisk Ponownie zainstaluj ServBay Root CA. ServBay usunie stary certyfikat główny (jeśli istnieje), a następnie zainstaluje nowy w pęku kluczy systemu macOS i ustawi go jako zaufany. W razie potrzeby podaj hasło administratora.

Rys. 6: Ponowna instalacja ServBay Root CA

Ponowne wystawienie wszystkich certyfikatów ServBay User

W skrajnych przypadkach, np. jeśli ServBay CA ulegnie uszkodzeniu, pliki certyfikatów zaginą lub pojawią się błędy w łańcuchu certyfikatów, możesz ponownie wygenerować wszystkie certyfikaty wystawione przez ServBay CA.

W panelu zarządzania ServBay Root CA kliknij Utwórz ponownie wszystkie certyfikaty ServBay User. Spowoduje to usunięcie dotychczasowych certyfikatów i wygenerowanie nowych dla stron skonfigurowanych w ServBay.

Ważne: Ta operacja zmienia wszystkie certyfikaty używane przez lokalne strony korzystające z ServBay CA. Jeżeli wcześniej eksportowałeś certyfikaty (np. do testów na urządzeniach mobilnych), musisz wyeksportować i zainstalować nowe, aby uniknąć przerw w działaniu usług.

Rys. 7: Ponowne wystawienie wszystkich certyfikatów ServBay User

Dodatkowe kroki diagnostyczne:

• Sprawdź konfigurację strony: Upewnij się, że strona korzysta z prawidłowego pliku certyfikatu wystawionego przez ServBay CA.
• Pamięć podręczna przeglądarki: Czasem przeglądarka zapamiętuje stare certyfikaty. Wyczyść cache lub otwórz stronę w trybie prywatnym.
• Status zaufania w systemie: W „Dostępie do pęku kluczy” jeszcze raz sprawdź, czy ServBay User CA - ECC Root jest oznaczony jako „Zawsze ufaj”. Kliknij dwukrotnie certyfikat, rozwiń sekcję „Zaufanie” i upewnij się, że wszystkie opcje są ustawione na „Zawsze ufaj”.

Podsumowanie

ServBay CA to potężne narzędzie wspierające bezpieczny rozwój stron www w środowisku macOS. Dzięki opisanym w tym dokumencie metodom możesz efektywnie zarządzać certyfikatami SSL wydawanymi przez ServBay CA: od ich uzyskiwania, przez odnawianie, eksport, usuwanie, po rozwiązywanie problemów z certyfikatami. Prawidłowa konfiguracja i zarządzanie ServBay CA pozwolą Ci stworzyć bezpieczny, profesjonalny i bliski produkcji workflow deweloperski na Twoim komputerze.