<Anterior | Conteúdo | Próxima>
5.2 Gerando uma Solicitação de Assinatura de Certificado (CSR)
Esteja você obtendo um certificado de uma CA ou gerando seu próprio certificado autoassinado, a primeira etapa é gerar uma chave.
Se o certificado for usado por daemons de serviço, como Apache, Postfix, Dovecot, etc., uma chave sem uma senha é geralmente apropriada. Não ter uma senha permite que os serviços sejam iniciados sem intervenção manual, geralmente a forma preferida de iniciar um daemon.
Esta seção cobrirá a geração de uma chave com uma frase-senha e outra sem. A chave sem senha será então usada para gerar um certificado que pode ser usado com vários daemons de serviço.
Executar seu serviço seguro sem uma senha é conveniente porque você não precisará inserir a senha toda vez que iniciar o serviço seguro. Mas é inseguro e um comprometimento da chave significa um comprometimento do servidor também.
Para gerar o chaves para a Solicitação de Assinatura de Certificado (CSR), execute o seguinte comando em um prompt de terminal:
openssl genrsa -des3 -out server.key 2048
Gerando chave privada RSA, módulo longo de 2048 bits
.......................... ++++++
....... ++++++
e é 65537 (0x10001)
Insira a frase secreta para server.key:
Agora você pode inserir sua senha longa. Para melhor segurança, deve conter pelo menos oito caracteres. O comprimento mínimo ao especificar -des3 é de quatro caracteres. Deve incluir números e / ou pontuação e não ser uma palavra de dicionário. Lembre-se também de que sua senha diferencia maiúsculas de minúsculas.
Digite novamente a frase secreta para verificar. Depois de redigitá-la corretamente, a chave do servidor é gerada e armazenada no servidor.chave arquivo.
Agora crie a chave insegura, aquela sem senha, e embaralhe os nomes das chaves:
openssl rsa -in server.key -out server.key.insecure mv server.key server.key.secure
mv servidor.chave.servidor inseguro.chave
A chave insegura agora é nomeada servidor.chave, e você pode usar esse arquivo para gerar o CSR sem senha. Para criar o CSR, execute o seguinte comando em um prompt de terminal:
openssl req -new -key servidor.key -out servidor.csr
Ele solicitará que você insira a senha. Se você inserir a senha correta, será solicitado que você insira o nome da empresa, o nome do site, a identificação do e-mail, etc. Depois de inserir todos esses detalhes, seu CSR será criado e armazenado no servidor.csr arquivo.
Agora você pode enviar este arquivo CSR a uma CA para processamento. A CA usará este arquivo CSR e emitirá o certificado. Por outro lado, você pode criar um certificado autoassinado usando este CSR.