Árvore de páginas

Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

Índice
maxLevel4
outlinetrue
exclude.*ndice
stylenone

 

Plataforma

Produto:  fluig

Objetivo

Apresentar uma forma de gerar o arquivo CSR para solicitação de um certificado a uma entidade certificadora utilizando o utilitário OpenSSL. Mostrar também que, através deste utilitário você pode gerar um repositório de certificados no formato PKCS12 para utilizar em configurações do servidor de aplicação dependendo do dimensionamento do ambiente. Além disso, mostrar os comandos para exportação do certificado e chave privada, do repositório com esta extensão.

Nota
titleAtenção!

É importante mencionar que qualquer utilitário que consiga gerar o certificado no formato correto pode ser utilizado, recomendamos o OpenSSL pela facilidade de uso e por ser padrão de mercado. Este procedimento não tem relação com as configurações feitas na plataforma. Portanto, deve ser escolhido o utilitário mais adequado para sua empresa.

Cada entidade certificadora trabalha de forma diferente. Algumas não solicitam o arquivo CSR para geração do certificado. Trabalham com diversos formatos de arquivos portanto, muitas vezes, será necessário exportar os arquivos para o formato adequado para a configuração do servidor de aplicação.

 

Gerar arquivo CSR
Âncora
CSR
CSR

Certificate Sign Request (CSR) é uma arquivo enviado para uma entidade certificadora a fim de gerar os certificados de um determinado domínio. 

Para gerar este arquivo recomendamos a utilização do utilitário OpenSSL OpenSSL. Sua instalação no servidor do fluig não tem impacto no funcionamento da plataforma. Para a instalação do OpenSSL recomendamos fazer download da última versão disponível para seu sistema operacional.

...

Após abrir o executável é necessário informar os dados da chave que será requisitada, como o domínio, contato e outros dados da empresa. executar o comando para iniciar o procedimento de geração do CSR:

Bloco de código
openssl req -nodes -newkey rsa:2048 -sha256 -keyout seudominio.com.br.key -out seudominio.com.br.csr

Informe os dados solicitados para a geração do CSR:

Image Added

 

Após a conclusão dos passos serão gerados dois arquivos: o arquivo com extensão CSR (seudominio.com.br.csr) deve ser submetido à entidade certificadora que irá gerar o certificado. O outro arquivo (seudominio.com.br.key) é a chave privada, que deve ser armazenada em local seguro.

Quando receber o certificado gerado pela entidade, continue o processo de configuração. 

Tanto a chave privada (seudominio.com.br.key) quanto o certificado gerado pela entidade (certificate.crt ou certificate.cer), devem ser salvos em uma pasta no servidor onde fica a aplicação. Recomendamos a criação de uma pasta na raiz da instalação do fluig (Exemplo: [Instalação fluig]/certificado), Vale mencionar que esses arquivos podem ser salvos em qualquer pasta do diretório do servidor.

Âncora
CSR
CSR

Gerar PKCS12

Os arquivos PKCS12 são um tipo de repositório de certificado utilizado na configuração de HTTPS. Para gerar o repositório é necessário ter o certificado e a chave privada.

O arquivo seudominio.com.br.key é a chave privada, enquanto certificate.crt é o certificado retornado pela entidade certificadora.

Após a execução do comando abaixo, é gerado o arquivo com extensão .p12 (seudominio.com.br.p12).

Bloco de código
openssl pkcs12 -export -out seudominio.com.br.p12 -inkey seudominio.com.br.key -in certificate.crt

 Dependendo do dimensionamento do seu ambiente e web server utilizado, não será necessário ter um repositório com esta extensão portanto, o certificado deverá ser exportado para utilização em outro formato de arquivo.

Para exportar o arquivo "key" do certificado repositório "p12", execute o seguinte comando:

...

Para exportar os arquivos "crt", "certcer" e "ca" do certificado repositório "p12", execute o seguinte comando:

Bloco de código
openssl pkcs12 -in certificado.p12 -nokeys -out pub.pem
Dica

Para saber mais sobre a configuração de HTTPS clique aqui.