Proibida a reprodução total ou parcial. Todos os direitos reservados 1

Manual de Comandos Úteis OpenSSL para Certificados Digitais gerados com chave 2048 – sha256

Sistemas Operacionais: Windows Vista Windows 7 32 / 64 bits

Microsoft Windows 2003 Server

Microsoft Windows 2008 Server

Linux

Janeiro/2012

Proibida a reprodução total ou parcial. Todos os direitos reservados 2

SUMÁRIO

INTRODUÇÃO .................................................................................................................................................. 3

Importante: ................................................................................................................................................... 3

PRÉ REQUISITO PARA WINDOWS. ............................................................................................................... 3

PARA BAIXAR OPENSSL PARA WINDOWS ................................................................................................. 3

PARA BAIXAR O PATCH C++ PARA WINDOWS .......................................................................................... 3

1º PASSO: GERAR CHAVE PRIVADA E CSR ................................................................................................ 4

2º PASSO: VISUALIZAR CSR ......................................................................................................................... 5

Para conferir os arquivos gerados ............................................................................................................ 5

Para gerar pfx com chave (Sem cadeias) ................................................................................................. 6

Para gerar pfx sem chave ........................................................................................................................... 7

Para gerar pfx com cadeia raiz .................................................................................................................. 7

Para gerar pfx com todas as cadeias ........................................................................................................ 7

Após gerar o arquivo de cadeias, digite o comando: ............................................................................. 8

Para visualizar o conteúdo do pfx ............................................................................................................. 9

Para gerar um arquivo instalável de cadeias tipo p7b .......................................................................... 11

Para gerar um arquivo PEM ..................................................................................................................... 11

Converter o formato certificado.cer para certificado.pem ............................................................... 11

Para visualizar o conteúdo do PEM ........................................................................................................ 12

Para saber mais: ........................................................................................................................................ 13

Proibida a reprodução total ou parcial. Todos os direitos reservados 3

Introdução

Por determinação da ICP Brasil, que regulamenta a certificação digital no País, a partir de 01 de Janeiro de 2012 o

Brasil passou por uma inovação tecnológica na emissão de certificados digitais, que estão seguindo um sistema de

criptografia mais complexo e eficaz. O processo é denominado Cadeia V2.

Assim, os certificados digitais passarão a ser emitidos conforme a nova Cadeia, ficando ainda mais seguros e

confiáveis.

Para maiores informações, abaixo as resoluções do órgão ITI (Instituto de Tecnologia da Informação) que determinam

os padrões de Certificados da cadeia V2.

http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/resolucao65.pdf

http://www.iti.gov.br/twiki/pub/Certificacao/Resolucoes/Resolucao_68.pdf

Para confecção dessa instrução, foi usado o Sistema Operacional Microsoft Windows 7 SP1, OpenSSL v0.9.8I. Algumas

divergências podem ser observadas caso a versão do seu ambiente seja superior ou inferior a esta.

Importante:

1. Esse procedimento deve ser feito por usuário Administrador e pode ser aplicado em ambiente Linux obedecendo

às particularidades de cada versão.

2. Essa instrução também pode ser usada para gerar CSR de certificado de servidor web, assinatura de código,

servidor Nfe e servidor corporativo.

3. Para facilitar, crie uma pasta (c:\Temp) na raiz do sistema para armazenar os arquivos gerados, ex: chave, csr,

cadeias e certificado.

Pré requisito para Windows.

Instalar os programas abaixo:

OpenSSL v0.9.8I;

Patch C++ para OpenSSL;

Prompt de Comando do Windows (Nativo no Windows).

Para baixar Openssl para Windows

use o link: http://www.openssl.org/related/binaries.html

Para baixar o patch C++ para Windows

use o link: http://www.microsoft.com/downloads/details.aspx?familyid=9B2DA534-3E03-4391-8A4D-

074B9F2BC1BF&displaylang=en

Proibida a reprodução total ou parcial. Todos os direitos reservados 4

1º Passo: Gerar chave privada e CSR

Para gerar a Chave privada e a CSR (Certificate Signing Request) no windows, abra o prompt de comando do Windows

em Iniciar; Executar e digite cmd. Navegue até o diretório de instalação do OpenSSL digitando cd \openssl\bin e no

prompt digite o comando abaixo.

c:\OpenSS\bin>openssl req -nodes -sha256 -newkey rsa:2048 -keyout c:\(informar o diretório

desejado)\nomedachave.key -out c:\(informar o diretório desejado)\(nome do arquivo).csr

No mesmo prompt de comando do Windows digite as informações que serão incorporadas a CSR.

Importante:

Para o preenchimento da CSR, não utilize caracteres especiais, cedilhas e acentos, tais como: (" ' ! @ # $ % ¨ & * _ - + =

§ ¬ ¢ £ ³ ² ¹ ` ´ [ ] { } ( ) ª º ^ ~ ? / \ ; : . , < > |). entre outros.

No item Common Name (eg, YOUR name), deve ser digitado a URL ou nome do servidor/equipamento que receberá o

certificado. Não digite https://

Country Name (2 letter code) [AU]:BR

State or Province Name (full name) [Some-State]: ESTADO

Locality Name (eg, city) []: CIDADE

Organization Name (eg, company) [Internet Widgits Pty Ltd]: NOME DA EMPRESA

Organizational Unit Name (eg, section) []: DEPARTAMENTO DA EMPRESA

Common Name (eg, YOUR name) []: URL DA EMPRESA

Email Address []: CERTIFICACAO@EMPRESA.COM.BR

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Proibida a reprodução total ou parcial. Todos os direitos reservados 5

2º Passo: Visualizar CSR

Para visualizar os dados da CSR gerada, digite no mesmo prompt, o comando abaixo.

Lembre-se de não digitar nenhum caractere especial no campo CN e o tamanho da chave tem de estar (2048 bits).

C:\OpenSSL\bin>openssl req –in c:\temp\servidor.csr –text –verify –noout

Para conferir os arquivos gerados

Note que os comandos geram a chave privada e a CSR salvando-as na pasta sugerida (c:\Temp).

Proibida a reprodução total ou parcial. Todos os direitos reservados 6

Após receber o certificado ou o link para baixar o certificado e as cadeias, salve-os na pasta sugerida (c:\Temp).

Para gerar pfx com chave (Sem cadeias)

C:\OpenSSL\bin>openssl pkcs12 –export –in c:\temp\meucertificadoserasa.cer –inkey c:\temp\private.key –out

c:\temp\meucertificadoserasa.pfx

Loading ‘screen’ into random state – done

Enter Export Password:

Verifying – Enter Export Password:

Proibida a reprodução total ou parcial. Todos os direitos reservados 7

Para gerar pfx sem chave

C:\OpenSSL\bin>openssl pkcs12 -export -nokeys -in c:\temp\meucertificadoserasa.cer -out

c:\temp\meucertificadoserasa.pfx

Loading 'screen' into random state - done

Enter Export Password:

Verifying - Enter Export Password:

Para gerar pfx com cadeia raiz

C:\OpenSSL\bin>openssl pkcs12 -export -in c:\temp\meucertificadoserasa.cer -inkey c:\temp\private.key -certfile

c:\temp\iti_v2.cer -out c:\temp\meucertificadoserasaeraiz.pfx

Loading 'screen' into random state - done

Enter Export Password:

Verifying - Enter Export Password:

Para gerar pfx com todas as cadeias

Abra cada cadeia num editor de texto e copie seu conteúdo num arquivo único começando pela cadeia raiz.

Salve o arquivo com um nome sugestivo ex: cadeias.cer na pasta onde está a chave e o certificado.

Obs:

Na figura abaixo os arquivos foram reduzidos para simplificar sua visualização nesta instrução.

São eles: ITI_v2(Autoridade Certificadora Raiz Brasileira-ICP-Brasil); SerasaACP_v2(Serasa Autoridade Certificadora

Principal) e SerasaCD_v2(Serasa Certificadora Digital).

Proibida a reprodução total ou parcial. Todos os direitos reservados 8

Após gerar o arquivo de cadeias, digite o comando: C:\OpenSSL\bin>openssl pkcs12 -export -in c:\temp\meucertificadoserasa.cer -inkey c:\temp\private.key -certfile

c:\temp\cadeias.cer -out c:\temp\meucertificadoserasaecadeias.pfx

Loading 'screen' into random state - done

Enter Export Password:

Verifying - Enter Export Password:

Proibida a reprodução total ou parcial. Todos os direitos reservados 9

Para visualizar o conteúdo do pfx

C:\OpenSSL\bin>openssl pkcs12 -in c:\temp\meucertificadoserasa.pfx -info

Enter Import Password:

Obs:

Na figura abaixo os arquivos foram reduzidos para simplificar sua visualização nesta instrução.

Proibida a reprodução total ou parcial. Todos os direitos reservados 10

Proibida a reprodução total ou parcial. Todos os direitos reservados 11

Para gerar um arquivo instalável de cadeias tipo p7b

Abra cada cadeia num editor de texto e salve-os com a extensão.pem ou siga a próxima instrução.

C:\OpenSSL\bin>openssl crl2pkcs7 -inform PEM -certfile c:\temp\ITI_v2.pem -certfile c:\temp\SerasaACP_v2.pem -

certfile c:\temp\SerasaCD_v2.pem -outform PEM -out c:\temp\cadeias.p7b –nocrl

Para gerar um arquivo PEM Converter o formato certificado.cer para certificado.pem

C:\OpenSSL\bin>openssl x509 -in c:\temp\meucertificadoserasa.cer -out c:\temp\meucertificadoserasa.pem

Proibida a reprodução total ou parcial. Todos os direitos reservados 12

Para visualizar o conteúdo do PEM

C:\OpenSSL\bin>openssl x509 -in c:\temp\certificado.pem –text

Obs:

Na figura abaixo os arquivos foram reduzidos para simplificar sua visualização nesta instrução.

Proibida a reprodução total ou parcial. Todos os direitos reservados 13

Para saber mais: Como instalar o certificado no formato .pfx:

http://www.certificadodigital.com.br/suporte/Manual-Importacao-CDA1.pdf

Como criar o arquivo .pfx de um certificado instalado no navegador:

http://www.certificadodigital.com.br/suporte/Manual-Copia-Seguranca-CDA1.pdf

Como instalar o arquivo de cadeias do formato p7b:

http://loja.certificadodigital.com.br/Serasa/UPLOAD/Downloads/527.pdf

Como importar o arquivo .pfx no IIS 6.0

http://loja.certificadodigital.com.br/Serasa/UPLOAD/Downloads/387.pdf