Geração de Chave e Solicitação de Assinatura de Certificado (CSR)
Criar uma chave privada e solicitar um certificado (chave pública) pode ser resolvido no OpenSSL com um único comando e inserindo as informações necessárias. A solicitação de certificado (CSR) e a geração de chave privada também podem ser facilmente realizadas na administração de clientes do SSLmentor.
OpenSSL
Para trabalhar com certificados, você precisa ter a biblioteca OpenSSL instalada. Consulte a página OpenSSL para Windows e Mac OSX para instruções e links de download.
Gerando uma solicitação de certificado (CSR) e chave privada
O comando cria uma chave privada e uma solicitação de certificado. Você deve especificar um caminho para colocar os arquivos em outro diretório.
openssl req -new -newkey rsa:2048 -nodes -out request.csr -keyout private.key
Para a geração de chave e solicitações de certificado, é importante que a solicitação contenha as informações corretas. Selecionar rsa: 2048 significa definir o comprimento da chave. Para maior segurança, é possível definir rsa: 3072 ou rsa: 4096.
Importante! Você deve sempre preencher o nome do domínio e o código do país de acordo com o padrão ISO. Deixe o item "A challenge password" vazio!
Verificação de Solicitação de Certificado (CSR)
Para verificar se o CSR (Solicitação de Assinatura de Certificado) está correto, podemos executar o comando com o parâmetro "-verify" adicionado. É recomendável realizar a verificação antes de enviar a solicitação para a autoridade de certificação. Alternativamente, recomendamos testar seu CSR usando a ferramenta da DigiCert - Check your CSR.
openssl req -in request.csr -text -noout -verify
Informações inseridas na solicitação de certificado
As seguintes informações são inseridas ao gerar as chaves (um exemplo de preenchimento é dado após a seta).
- Common name [CN]: nome do domínio -> www.sslmentor.com
- Organization [O]: nome exato da empresa, proprietário do domínio -> Web security s.r.o.
- Organizational unit [OU]: departamento da empresa -> internet / eshop / it / ...
A partir de 1º de setembro de 2022, os certificados TLS públicos não terão uma OU e ignorarão a OU. - City/locality [L]: cidade -> Praga
- State/province [S]: -> República Tcheca
- Country/region [C]: código do país de acordo com o ISO -> CZ
- Tamanho da chave: 2048 bits
Recomendamos inserir o nome do domínio exatamente como está definido no servidor e como é exibido no navegador. Embora as autoridades de certificação insiram ambas as variantes no certificado (com e sem www antes do nome do domínio), ambas as variantes não são inseridas para certificados multi-domínio.
O número máximo de caracteres para Nome comum [CN] e Organização [O] é 64. Você pode encontrar mais regras em os Requisitos básicos e Violações do RFC 5280.
País/região [C]:
- PT - Portugal
- ES - Espanha
- IE - Irlanda
- US - Estados Unidos da América
- DE - Alemanha
- CZ - República Tcheca
- AT - Áustria
- PL - Polônia
O código do país deve ser inserido exatamente de acordo com o ISO em LETRAS MAIÚSCULAS.
Uma visão geral dos códigos de país ISO pode ser encontrada no site da Organização Internacional de Normalização www.iso.org.
O que é uma senha de desafio?
Ao gerar o certificado, a entrada "A challenge password" é oferecida. Sempre deixe em branco, caso contrário, a CA rejeitará o pedido. A senha de desafio é definida no RFC 2985 como a senha de revogação do certificado.
Informações mínimas para certificados DV
Os certificados de domínio (DV) contêm apenas informações de domínio e todos os outros dados inseridos na aplicação são excluídos pela autoridade de certificação.
Por exemplo, as informações no corpo SSL do certificado PositiveSSL são apenas:
- CN = domain.com
- OU = PositiveSSL
- OU = Domain Control Validated
As informações mínimas que devem ser inseridas para certificados de domínio para que um certificado seja emitido são Nome comum [CN] e País/região [C]. No entanto, recomendamos que você preencha todas as informações devido a uma possível rejeição por parte de uma autoridade de certificação.
Para onde ir a seguir?
Voltar para Ajuda
Encontrou um erro ou não entendeu algo? Escreva para nós!
