Objetivo

Apresentar uma forma de gerar o arquivo CSR para solicitação de um certificado a uma entidade certificadora utilizando o utilitário OpenSSL. Mostrar também que, através deste utilitário você pode gerar um repositório de certificados no formato PKCS12 para utilizar em configurações do servidor de aplicação dependendo do dimensionamento do ambiente. Além disso, mostrar os comandos para exportação do certificado e chave privada, do repositório com esta extensão.

Gerar arquivo CSR

O Certificate Sign Request (CSR) é uma arquivo enviado para uma entidade certificadora a fim de ser gerado os certificados de um determinado domínio. 

Para gerar este arquivo recomendamos a utilização do utilitário OpenSSL. Sua instalação no servidor da plataforma não tem impacto no funcionamento da plataforma. Para a instalação do OpenSSL recomendamos fazer download da última versão disponível para seu sistema operacional.

Abaixo seguem os passos para a geração do arquivo utilizando como base a ferramenta OpenSSL.

Após abrir o executável é necessário executar o comando para iniciar o procedimento de geração do CSR:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout arquivo_chave.key -out certificate.csr

Informe os dados solicitados pelo OpenSSL para a geração do CSR:

Após a conclusão dos passos serão gerados dois arquivos: o arquivo com extensão CSR (certificate.csr) deve ser submetido à entidade certificadora que irá gerar o certificado. O outro arquivo (arquivo_chave.key) é a chave privada, que deve ser armazenada em local seguro.

Tanto a chave privada (arquivo_chave.key) quanto o certificado gerado pela entidade (certificado.crt ou certificado.cer), devem ser salvos em uma pasta no servidor onde fica a aplicação. Recomendamos a criação de uma pasta na raiz da instalação da plataforma (Exemplo: [Instalação da plataforma]/certificado), Vale mencionar que esses arquivos podem ser salvos em qualquer pasta do diretório do servidor.

Quando receber o certificado gerado pela entidade, continue o processo de configuração. Se desejar gerar o repositório (Keystore) no formato PKCS12, siga as instruções abaixo. Para realizar as configurações SSL na plataforma ou também gerar um repositório de certificados na extensão JKS no Java, acesse a documentação Configurar HTTPS.

Gerar PKCS12

Os arquivos PKCS12 são um tipo de repositório de certificado utilizado na configuração de HTTPS. Para gerar o repositório é necessário ter o certificado (enviado pela entidade certificadora) e a chave privada.

O arquivo arquivo_chave.key é a chave privada, enquanto certificado.crt é o certificado retornado pela entidade certificadora.

Após a execução do comando abaixo, é gerado o arquivo com extensão .p12 (repositorio.p12).

openssl pkcs12 -export -out repositorio.p12 -inkey arquivo_chave.key -in certificado.crt

Dependendo do dimensionamento do seu ambiente e web server utilizado, não será necessário ter um repositório com esta extensão portanto, o certificado deverá ser exportado para utilização em outro formato de arquivo.

Para exportar o arquivo "key" do repositório "p12", execute o seguinte comando:

openssl pkcs12 -in repositorio.p12  -nocerts -out arquivo_chave.key -nodes

Para exportar o arquivo "crt", "cer" ou "ca" do repositório "p12", execute o seguinte comando:

openssl pkcs12 -in repositorio.p12 -nokeys -out certificado.crt -nodes

Para exportar um certificado com uma cadeia completa, incluindo o certificado intermediário, execute o seguinte comando:

openssl pkcs12 -export -out repositorio.p12 -inkey privada.key -in certificado.crt -certfile bundle.pem

Para consultar como gerar o Bundle, acesse a documentação de Configuração HTTPS da plataforma.

openssl pkcs12 -in C:\fluig\certs\repositorio.p12 -nokeys -out C:\fluig\certs\certificado.crt -nodes