Proibida a reprodução total ou parcial. Todos os direitos reservados 1
Manual de Comandos Úteis OpenSSL para Certificados Digitais gerados com chave 2048 – sha256
Sistemas Operacionais: Windows Vista Windows 7 32 / 64 bits
Microsoft Windows 2003 Server
Microsoft Windows 2008 Server
Linux
Janeiro/2012
Proibida a reprodução total ou parcial. Todos os direitos reservados 2
SUMÁRIO
INTRODUÇÃO .................................................................................................................................................. 3
Importante: ................................................................................................................................................... 3
PRÉ REQUISITO PARA WINDOWS. ............................................................................................................... 3
PARA BAIXAR OPENSSL PARA WINDOWS ................................................................................................. 3
PARA BAIXAR O PATCH C++ PARA WINDOWS .......................................................................................... 3
1º PASSO: GERAR CHAVE PRIVADA E CSR ................................................................................................ 4
2º PASSO: VISUALIZAR CSR ......................................................................................................................... 5
Para conferir os arquivos gerados ............................................................................................................ 5
Para gerar pfx com chave (Sem cadeias) ................................................................................................. 6
Para gerar pfx sem chave ........................................................................................................................... 7
Para gerar pfx com cadeia raiz .................................................................................................................. 7
Para gerar pfx com todas as cadeias ........................................................................................................ 7
Após gerar o arquivo de cadeias, digite o comando: ............................................................................. 8
Para visualizar o conteúdo do pfx ............................................................................................................. 9
Para gerar um arquivo instalável de cadeias tipo p7b .......................................................................... 11
Para gerar um arquivo PEM ..................................................................................................................... 11
Converter o formato certificado.cer para certificado.pem ............................................................... 11
Para visualizar o conteúdo do PEM ........................................................................................................ 12
Para saber mais: ........................................................................................................................................ 13
Proibida a reprodução total ou parcial. Todos os direitos reservados 3
Introdução
Por determinação da ICP Brasil, que regulamenta a certificação digital no País, a partir de 01 de Janeiro de 2012 o
Brasil passou por uma inovação tecnológica na emissão de certificados digitais, que estão seguindo um sistema de
criptografia mais complexo e eficaz. O processo é denominado Cadeia V2.
Assim, os certificados digitais passarão a ser emitidos conforme a nova Cadeia, ficando ainda mais seguros e
confiáveis.
Para maiores informações, abaixo as resoluções do órgão ITI (Instituto de Tecnologia da Informação) que determinam
os padrões de Certificados da cadeia V2.
http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/resolucao65.pdf
http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/Resolucao_68.pdf
Para confecção dessa instrução, foi usado o Sistema Operacional Microsoft Windows 7 SP1, OpenSSL v0.9.8I. Algumas
divergências podem ser observadas caso a versão do seu ambiente seja superior ou inferior a esta.
Importante:
1. Esse procedimento deve ser feito por usuário Administrador e pode ser aplicado em ambiente Linux obedecendo
às particularidades de cada versão.
2. Essa instrução também pode ser usada para gerar CSR de certificado de servidor web, assinatura de código,
servidor Nfe e servidor corporativo.
3. Para facilitar, crie uma pasta (c:\Temp) na raiz do sistema para armazenar os arquivos gerados, ex: chave, csr,
cadeias e certificado.
Pré requisito para Windows.
Instalar os programas abaixo:
OpenSSL v0.9.8I;
Patch C++ para OpenSSL;
Prompt de Comando do Windows (Nativo no Windows).
Para baixar Openssl para Windows
use o link: http://www.openssl.org/related/binaries.html
Para baixar o patch C++ para Windows
use o link: http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-
074B9F2BC1BF&displaylang=en
Proibida a reprodução total ou parcial. Todos os direitos reservados 4
1º Passo: Gerar chave privada e CSR
Para gerar a Chave privada e a CSR (Certificate Signing Request) no windows, abra o prompt de comando do Windows
em Iniciar; Executar e digite cmd. Navegue até o diretório de instalação do OpenSSL digitando cd \openssl\bin e no
prompt digite o comando abaixo.
c:\OpenSS\bin>openssl req -nodes -sha256 -newkey rsa:2048 -keyout c:\(informar o diretório
desejado)\nomedachave.key -out c:\(informar o diretório desejado)\(nome do arquivo).csr
No mesmo prompt de comando do Windows digite as informações que serão incorporadas a CSR.
Importante:
Para o preenchimento da CSR, não utilize caracteres especiais, cedilhas e acentos, tais como: (" ' ! @ # $ % ¨ & * _ - + =
§ ¬ ¢ £ ³ ² ¹ ` ´ [ ] { } ( ) ª º ^ ~ ? / \ ; : . , < > |). entre outros.
No item Common Name (eg, YOUR name), deve ser digitado a URL ou nome do servidor/equipamento que receberá o
certificado. Não digite https://
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]: ESTADO
Locality Name (eg, city) []: CIDADE
Organization Name (eg, company) [Internet Widgits Pty Ltd]: NOME DA EMPRESA
Organizational Unit Name (eg, section) []: DEPARTAMENTO DA EMPRESA
Common Name (eg, YOUR name) []: URL DA EMPRESA
Email Address []: [email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Proibida a reprodução total ou parcial. Todos os direitos reservados 5
2º Passo: Visualizar CSR
Para visualizar os dados da CSR gerada, digite no mesmo prompt, o comando abaixo.
Lembre-se de não digitar nenhum caractere especial no campo CN e o tamanho da chave tem de estar (2048 bits).
C:\OpenSSL\bin>openssl req –in c:\temp\servidor.csr –text –verify –noout
Para conferir os arquivos gerados
Note que os comandos geram a chave privada e a CSR salvando-as na pasta sugerida (c:\Temp).
Proibida a reprodução total ou parcial. Todos os direitos reservados 6
Após receber o certificado ou o link para baixar o certificado e as cadeias, salve-os na pasta sugerida (c:\Temp).
Para gerar pfx com chave (Sem cadeias)
C:\OpenSSL\bin>openssl pkcs12 –export –in c:\temp\meucertificadoserasa.cer –inkey c:\temp\private.key –out
c:\temp\meucertificadoserasa.pfx
Loading ‘screen’ into random state – done
Enter Export Password:
Verifying – Enter Export Password:
Proibida a reprodução total ou parcial. Todos os direitos reservados 7
Para gerar pfx sem chave
C:\OpenSSL\bin>openssl pkcs12 -export -nokeys -in c:\temp\meucertificadoserasa.cer -out
c:\temp\meucertificadoserasa.pfx
Loading 'screen' into random state - done
Enter Export Password:
Verifying - Enter Export Password:
Para gerar pfx com cadeia raiz
C:\OpenSSL\bin>openssl pkcs12 -export -in c:\temp\meucertificadoserasa.cer -inkey c:\temp\private.key -certfile
c:\temp\iti_v2.cer -out c:\temp\meucertificadoserasaeraiz.pfx
Loading 'screen' into random state - done
Enter Export Password:
Verifying - Enter Export Password:
Para gerar pfx com todas as cadeias
Abra cada cadeia num editor de texto e copie seu conteúdo num arquivo único começando pela cadeia raiz.
Salve o arquivo com um nome sugestivo ex: cadeias.cer na pasta onde está a chave e o certificado.
Obs:
Na figura abaixo os arquivos foram reduzidos para simplificar sua visualização nesta instrução.
São eles: ITI_v2(Autoridade Certificadora Raiz Brasileira-ICP-Brasil); SerasaACP_v2(Serasa Autoridade Certificadora
Principal) e SerasaCD_v2(Serasa Certificadora Digital).
Proibida a reprodução total ou parcial. Todos os direitos reservados 8
Após gerar o arquivo de cadeias, digite o comando: C:\OpenSSL\bin>openssl pkcs12 -export -in c:\temp\meucertificadoserasa.cer -inkey c:\temp\private.key -certfile
c:\temp\cadeias.cer -out c:\temp\meucertificadoserasaecadeias.pfx
Loading 'screen' into random state - done
Enter Export Password:
Verifying - Enter Export Password:
Proibida a reprodução total ou parcial. Todos os direitos reservados 9
Para visualizar o conteúdo do pfx
C:\OpenSSL\bin>openssl pkcs12 -in c:\temp\meucertificadoserasa.pfx -info
Enter Import Password:
Obs:
Na figura abaixo os arquivos foram reduzidos para simplificar sua visualização nesta instrução.
Proibida a reprodução total ou parcial. Todos os direitos reservados 10
Proibida a reprodução total ou parcial. Todos os direitos reservados 11
Para gerar um arquivo instalável de cadeias tipo p7b
Abra cada cadeia num editor de texto e salve-os com a extensão.pem ou siga a próxima instrução.
C:\OpenSSL\bin>openssl crl2pkcs7 -inform PEM -certfile c:\temp\ITI_v2.pem -certfile c:\temp\SerasaACP_v2.pem -
certfile c:\temp\SerasaCD_v2.pem -outform PEM -out c:\temp\cadeias.p7b –nocrl
Para gerar um arquivo PEM Converter o formato certificado.cer para certificado.pem
C:\OpenSSL\bin>openssl x509 -in c:\temp\meucertificadoserasa.cer -out c:\temp\meucertificadoserasa.pem
Proibida a reprodução total ou parcial. Todos os direitos reservados 12
Para visualizar o conteúdo do PEM
C:\OpenSSL\bin>openssl x509 -in c:\temp\certificado.pem –text
Obs:
Na figura abaixo os arquivos foram reduzidos para simplificar sua visualização nesta instrução.
Proibida a reprodução total ou parcial. Todos os direitos reservados 13
Para saber mais: Como instalar o certificado no formato .pfx:
http://www.certificadodigital.com.br/suporte/Manual-Importacao-CDA1.pdf
Como criar o arquivo .pfx de um certificado instalado no navegador:
http://www.certificadodigital.com.br/suporte/Manual-Copia-Seguranca-CDA1.pdf
Como instalar o arquivo de cadeias do formato p7b:
http://loja.certificadodigital.com.br/Serasa/UPLOAD/Downloads/527.pdf
Como importar o arquivo .pfx no IIS 6.0
http://loja.certificadodigital.com.br/Serasa/UPLOAD/Downloads/387.pdf
Top Related