Índice
Índice |
---|
maxLevel | 4 |
---|
outline | true |
---|
exclude | .*ndice |
---|
style | none |
---|
|
Objetivo
Apresentar uma forma de gerar o arquivo CSR para solicitação de um certificado a uma entidade certificadora utilizando o utilitário OpenSSL. Mostrar também que, através deste utilitário você pode gerar um repositório de certificados no formato PKCS12 para utilizar em configurações do servidor de aplicação dependendo do dimensionamento do ambiente. Além disso, mostrar os comandos para exportação do certificado e chave privada, do repositório com esta extensão.
Nota |
---|
|
É importante mencionar que qualquer utilitário que consiga gerar o certificado no formato correto pode ser utilizado, recomendamos o OpenSSL pela facilidade de uso e por ser padrão de mercado. Este procedimento não tem relação com as configurações feitas na plataforma. Portanto, deve ser escolhido o utilitário mais adequado para sua empresa. Cada entidade certificadora trabalha de forma diferente. Trabalham com diversos formatos de arquivos portanto, muitas vezes, será necessário exportar os arquivos em formatos adequados para a configurações no servidor de aplicação. Algumas não solicitam o arquivo CSR para geração do certificado. |
Nota |
---|
|
Recomendamos a utilização do sistema operacional Linux para a execução desses procedimentos do OpenSSL. |
Gerar arquivo CSR
O Certificate Sign Request (CSR) é uma arquivo enviado para uma entidade certificadora a fim de ser gerado os certificados de um determinado domínio.
Para gerar este arquivo recomendamos a utilização do utilitário OpenSSL. Sua instalação no servidor do fluig da plataforma não tem impacto no funcionamento da plataforma. Para a instalação do OpenSSL recomendamos fazer download da última versão disponível para seu sistema operacional.
...
Tanto a chave privada (arquivo_chave.key) quanto o certificado gerado pela entidade (certificado.crt ou certificado.cer), devem ser salvos em uma pasta no servidor onde fica a aplicação. Recomendamos a criação de uma pasta na raiz da instalação do fluig da plataforma (Exemplo: [Instalação fluigda plataforma]/certificado), Vale mencionar que esses arquivos podem ser salvos em qualquer pasta do diretório do servidor.
Quando receber o certificado gerado pela entidade, continue o processo de configuração. Se desejar gerar o repositório (Keystore) no formato PKCS12, siga as instruções abaixo. Para realizar as configurações SSL na plataforma fluig ou plataforma ou também gerar um repositório de certificados na extensão JKS no Java, acesse a documentação Configurar HTTPS.
Gerar PKCS12
Os arquivos PKCS12 são um tipo de repositório de certificado utilizado na configuração de HTTPS. Para gerar o repositório é necessário ter o certificado (enviado pela entidade certificadora) e a chave privada.
...
Bloco de código |
---|
|
openssl pkcs12 -in repositorio.p12 -nokeys -out certificado.crt -nodes |
Para exportar um certificado com uma cadeia completa, incluindo o certificado intermediário, execute o seguinte comando:
Bloco de código |
---|
|
openssl pkcs12 -export -out repositorio.p12 -inkey privada.key -in certificado.crt -certfile bundle.pem |
Nota |
---|
|
Se o Fluig não aceitar a senha configurada no certificado, refaça o pacote utilizando as tags -legacy e -descert, conforme exemplo abaixo: Bloco de código |
---|
| openssl pkcs12 -export -out repositorio.p12 -inkey privada.key -in certificado.crt -certfile bundle.pem -legacy -descert |
Saiba mais em Erro de senha incorreta ao configurar certificado HTTPS (failed to decrypt safe contents entry). |
Para consultar como gerar o Bundle, acesse a documentação de Configuração HTTPS da plataforma.
Dica |
---|
Se o repositório de certificados (.p12) estiver em uma pasta específica ou desejar salvar os arquivos exportados em uma pasta específica, o diretório deve ser informado no comando a ser executado. Exemplo: Bloco de código |
---|
| openssl pkcs12 -in C:\fluig\certs\repositorio.p12 -nokeys -out C:\fluig\certs\certificado.crt -nodes |
|
...