Manual de Comandos teis OpenSSL para Certificados Digitais gerados com chave 2048 sha256

Sistemas Operacionais: Windows Vista Windows 7 32 / 64 bits Microsoft Windows 2003 Server Microsoft Windows 2008 Server Linux

Janeiro/2012

Proibida a reproduo total ou parcial. Todos os direitos reservados

SUMRIO

INTRODUO .................................................................................................................................................. 3 Importante: ................................................................................................................................................... 3 PR REQUISITO PARA WINDOWS. ............................................................................................................... 3 PARA BAIXAR OPENSSL PARA WINDOWS ................................................................................................. 3 PARA BAIXAR O PATCH C++ PARA WINDOWS .......................................................................................... 3 1 PASSO: GERAR CHAVE PRIVADA E CSR................................................................................................ 4 2 PASSO: VISUALIZAR CSR ......................................................................................................................... 5 Para conferir os arquivos gerados ............................................................................................................ 5 Para gerar pfx com chave (Sem cadeias) ................................................................................................. 6 Para gerar pfx sem chave ........................................................................................................................... 7 Para gerar pfx com cadeia raiz .................................................................................................................. 7 Para gerar pfx com todas as cadeias ........................................................................................................ 7 Aps gerar o arquivo de cadeias, digite o comando: ............................................................................. 8 Para visualizar o contedo do pfx ............................................................................................................. 9 Para gerar um arquivo instalvel de cadeias tipo p7b .......................................................................... 11 Para gerar um arquivo PEM ..................................................................................................................... 11 Converter o formato certificado.cer para certificado.pem ............................................................... 11 Para visualizar o contedo do PEM ........................................................................................................ 12 Para saber mais: ........................................................................................................................................ 13

Proibida a reproduo total ou parcial. Todos os direitos reservados

Introduo

Por determinao da ICP Brasil, que regulamenta a certificao digital no Pas, a partir de 01 de Janeiro de 2012 o Brasil passou por uma inovao tecnolgica na emisso de certificados digitais, que esto seguindo um sistema de criptografia mais complexo e eficaz. O processo denominado Cadeia V2. Assim, os certificados digitais passaro a ser emitidos conforme a nova Cadeia, ficando ainda mais seguros e confiveis. Para maiores informaes, abaixo as resolues do rgo ITI (Instituto de Tecnologia da Informao) que determinam os padres de Certificados da cadeia V2. http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/resolucao65.pdf http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/Resolucao_68.pdf Para confeco dessa instruo, foi usado o Sistema Operacional Microsoft Windows 7 SP1, OpenSSL v0.9.8I. Algumas divergncias podem ser observadas caso a verso do seu ambiente seja superior ou inferior a esta.

Importante: 1. 2. 3. Esse procedimento deve ser feito por usurio Administrador e pode ser aplicado em ambiente Linux obedecendo s particularidades de cada verso. Essa instruo tambm pode ser usada para gerar CSR de certificado de servidor web, assinatura de cdigo, servidor Nfe e servidor corporativo. Para facilitar, crie uma pasta (c:\Temp) na raiz do sistema para armazenar os arquivos gerados, ex: chave, csr, cadeias e certificado.

Pr requisito para Windows. Instalar os programas abaixo: OpenSSL v0.9.8I; Patch C++ para OpenSSL; Prompt de Comando do Windows (Nativo no Windows).

Para baixar Openssl para Windows use o link: http://www.openssl.org/related/binaries.html

Para baixar o patch C++ para Windows use o link: http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D074B9F2BC1BF&displaylang=en

Proibida a reproduo total ou parcial. Todos os direitos reservados

1 Passo: Gerar chave privada e CSR

Para gerar a Chave privada e a CSR (Certificate Signing Request) no windows, abra o prompt de comando do Windows em Iniciar; Executar e digite cmd. Navegue at o diretrio de instalao do OpenSSL digitando cd \openssl\bin e no prompt digite o comando abaixo. c:\OpenSS\bin>openssl req -nodes -sha256 -newkey rsa:2048 -keyout desejado)\nomedachave.key -out c:\(informar o diretrio desejado)\(nome do arquivo).csr c:\(informar o diretrio

No mesmo prompt de comando do Windows digite as informaes que sero incorporadas a CSR. Importante: Para o preenchimento da CSR, no utilize caracteres especiais, cedilhas e acentos, tais como: (" ' ! @ # $ % & * _ - + = ` [ ] { } ( ) ^ ~ ? / \ ; : . , < > |). entre outros. No item Common Name (eg, YOUR name), deve ser digitado a URL ou nome do servidor/equipamento que receber o certificado. No digite https://

Country Name (2 letter code) [AU]:BR State or Province Name (full name) [Some-State]: ESTADO Locality Name (eg, city) []: CIDADE Organization Name (eg, company) [Internet Widgits Pty Ltd]: NOME DA EMPRESA Organizational Unit Name (eg, section) []: DEPARTAMENTO DA EMPRESA Common Name (eg, YOUR name) []: URL DA EMPRESA Email Address []: CERTIFICACAO@EMPRESA.COM.BR Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Proibida a reproduo total ou parcial. Todos os direitos reservados

2 Passo: Visualizar CSR

Para visualizar os dados da CSR gerada, digite no mesmo prompt, o comando abaixo. Lembre-se de no digitar nenhum caractere especial no campo CN e o tamanho da chave tem de estar (2048 bits). C:\OpenSSL\bin>openssl req in c:\temp\servidor.csr text verify noout

Para conferir os arquivos gerados

Note que os comandos geram a chave privada e a CSR salvando-as na pasta sugerida (c:\Temp).

Proibida a reproduo total ou parcial. Todos os direitos reservados

Aps receber o certificado ou o link para baixar o certificado e as cadeias, salve-os na pasta sugerida (c:\Temp).

Para gerar pfx com chave (Sem cadeias)

C:\OpenSSL\bin>openssl pkcs12 export in c:\temp\meucertificadoserasa.cer inkey c:\temp\private.key out c:\temp\meucertificadoserasa.pfx Loading screen into random state done Enter Export Password: Verifying Enter Export Password:

Proibida a reproduo total ou parcial. Todos os direitos reservados

Para gerar pfx sem chave

C:\OpenSSL\bin>openssl pkcs12 c:\temp\meucertificadoserasa.pfx Loading 'screen' into random state - done Enter Export Password: Verifying - Enter Export Password: -export -nokeys -in c:\temp\meucertificadoserasa.cer -out

Para gerar pfx com cadeia raiz

C:\OpenSSL\bin>openssl pkcs12 -export -in c:\temp\meucertificadoserasa.cer -inkey c:\temp\private.key -certfile c:\temp\iti_v2.cer -out c:\temp\meucertificadoserasaeraiz.pfx Loading 'screen' into random state - done Enter Export Password: Verifying - Enter Export Password:

Para gerar pfx com todas as cadeias

Abra cada cadeia num editor de texto e copie seu contedo num arquivo nico comeando pela cadeia raiz. Salve o arquivo com um nome sugestivo ex: cadeias.cer na pasta onde est a chave e o certificado. Obs: Na figura abaixo os arquivos foram reduzidos para simplificar sua visualizao nesta instruo. So eles: ITI_v2(Autoridade Certificadora Raiz Brasileira-ICP-Brasil); SerasaACP_v2(Serasa Autoridade Certificadora Principal) e SerasaCD_v2(Serasa Certificadora Digital).

Proibida a reproduo total ou parcial. Todos os direitos reservados

Aps gerar o arquivo de cadeias, digite o comando:

C:\OpenSSL\bin>openssl pkcs12 -export -in c:\temp\meucertificadoserasa.cer -inkey c:\temp\private.key -certfile c:\temp\cadeias.cer -out c:\temp\meucertificadoserasaecadeias.pfx Loading 'screen' into random state - done Enter Export Password: Verifying - Enter Export Password:

Proibida a reproduo total ou parcial. Todos os direitos reservados

Para visualizar o contedo do pfx

C:\OpenSSL\bin>openssl pkcs12 -in c:\temp\meucertificadoserasa.pfx -info Enter Import Password: Obs: Na figura abaixo os arquivos foram reduzidos para simplificar sua visualizao nesta instruo.

Proibida a reproduo total ou parcial. Todos os direitos reservados

Proibida a reproduo total ou parcial. Todos os direitos reservados

10

Para gerar um arquivo instalvel de cadeias tipo p7b

Abra cada cadeia num editor de texto e salve-os com a extenso.pem ou siga a prxima instruo. C:\OpenSSL\bin>openssl crl2pkcs7 -inform PEM -certfile c:\temp\ITI_v2.pem -certfile c:\temp\SerasaACP_v2.pem certfile c:\temp\SerasaCD_v2.pem -outform PEM -out c:\temp\cadeias.p7b nocrl

Para gerar um arquivo PEM Converter o formato certificado.cer para certificado.pem

C:\OpenSSL\bin>openssl x509 -in c:\temp\meucertificadoserasa.cer -out c:\temp\meucertificadoserasa.pem

Proibida a reproduo total ou parcial. Todos os direitos reservados

11

Para visualizar o contedo do PEM

C:\OpenSSL\bin>openssl x509 -in c:\temp\certificado.pem text

Obs: Na figura abaixo os arquivos foram reduzidos para simplificar sua visualizao nesta instruo.

Proibida a reproduo total ou parcial. Todos os direitos reservados

12

Para saber mais:

Como instalar o certificado no formato .pfx: http://www.certificadodigital.com.br/suporte/Manual-Importacao-CDA1.pdf Como criar o arquivo .pfx de um certificado instalado no navegador: http://www.certificadodigital.com.br/suporte/Manual-Copia-Seguranca-CDA1.pdf Como instalar o arquivo de cadeias do formato p7b: http://loja.certificadodigital.com.br/Serasa/UPLOAD/Downloads/527.pdf Como importar o arquivo .pfx no IIS 6.0
http://loja.certificadodigital.com.br/Serasa/UPLOAD/Downloads/387.pdf

Proibida a reproduo total ou parcial. Todos os direitos reservados

13