Download   Report
  1. No category

HOW TO  Gerando certificado digital, auto‐ assinado, para utilização no Proxy 

HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
1 de 9 Página: Introdução
Este FAQ visa demonstrar como efetuar a geração de um certificado digital no formato PKCS#12, bem como a
importação do certificado X509 nos navegadores.
O que é um certificado digital?
Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das entidades que irá
realizar uma comunicação, de forma a garantir sua autenticidade.
Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509. Este comumente utiliza-se das
extensões “pem”, “cer” e “crt”.
Formato PKCS#12
O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do certificado X.509 acompanhado da
chave privada. Esse arquivo geralmente tem a extensão “pfx” e “p12”.
Comunicação HTTPS
A comunicação HTTPS utiliza-se do sistema de certificação digital. Quando o cliente acessa um site com HTTPS o
servidor envia ao cliente o certificado X.509 (que contém sua chave pública). De posse deste certificado o navegador
(cliente) faz algumas validações:
o
o
o
Validade do certificado;
Se o CN (Common Name) do certificado é o host da url;
Se a autoridade certificadora que assinou o certificado é uma autoridade confiável.
Após a validação ocorrer com sucesso, o cliente efetua o processo de comunicação de requisições e respostas HTTP.
Gerando certificado para utilização do Firewall
Como o proxy HTTPS transparente atua como man-in-the-middle, ou seja, ele precisa gerar o certificado ao cliente e
este precisa valida-lo.
Para que o Firewall possa gerar certificados ele atua como uma Autoridade Certificadora (CA), ou seja, ele gera os
certificados para os sites no qual é acessado através do Proxy. Alguns pré-requisitos são necessários para realizar este
processo:
o
o
O firewall necessita de um certificado digital no formato PKCS#12, pois somente este tem a chave privada;
O Certificado X.509 contido no PKCS#12 necessita ser um certificado com prerrogativas específicas para
que este certificado possa assinar novos certificados, ou seja, atuar como uma CA.
Há várias possibilidades de gerar o certificado, neste FAQ serão explicadas duas delas. Não é necessário realizar estas
duas formas para o correto funcionamento do Firewall, portanto escolha uma delas e realize somente ela.
1.
2.
Gerando um certificado auto-assinado com o OpenSSL;
Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.
Ao final de qualquer um dos 2 processos escolhidos haverão 2 arquivos que serão utilizados no processo do Proxy
HTTPS:
1.
2.
Arquivo no formato X.509, com extensão .cer;
Arquivo no formato PKCS#12, com extensão .pfx.
O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. Para maiores informações verificar o item
correspondente no manual do Firewall. Já o arquivo X.509 precisa ser importado na seção de autoridades
certificadoras raiz confiáveis dos navegadores conforme demonstrado posteriormente neste FAQ.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: 2 de 9 Página: Gerando certificado auto-assinado com o OpenSSL
1.
2.
3.
4.
5.
Efetue a instalação do OpenSSL;
Crie um diretório para utilizações durante este processo.
Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”
Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”
Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinte conteúdo:
RANDFILE = .rnd
[ ca ]
default_ca = CA_default
[ CA_default ]
certs = certs
crl_dir = crl
database = database.txt
new_certs_dir = certs
certificate = cacert.pem
serial = serial.txt
crl = crl.pem
private_key = privatecakey.pem
RANDFILE = privateprivate.rnd
default_days = 365
default_crl_days= 3
default_md = sha1
preserve = no
policy = policy_match
[ policy_match ]
commonName = supplied
emailAddress = optional
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName = Common Name (eg, your website`s domain name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 40
countryName = Country Name (2 letter code)
countryName_min = 2
countryName_max = 2
countryName_default = BR
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
3 de 9 Página: keyUsage = critical,cRLSign, keyCertSign, digitalSignature
6.
Crie a chave privada que será utilizada
openssl genrsa -des3 -out ca.key 1024
Neste momento será solicitada a senha para armazenamento da chave, que será utilizada
posteriormente para abertura da chave privada.
Loading `screen` into random state - done
Generating RSA private key, 1024 bit long modulus
..............++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
7.
Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para instalação nos clientes.
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key ca.key -out
firewall.cer
Neste momento algumas informações serão solicitadas, a primeira delas é a senha da chave
privada
criada no passo anterior.
Enter pass phrase for ca.key:
Agora serão solicitados os dados do certificado, o único item obrigatório é o Common Name
(CN), nele adicione o nome como deseja que a sua CA seja identificada.
Após a finalização deste processo temos o nosso certificado conforme imagem abaixo:
Porém temos 2 arquivos, um para a chave privada e outro para o certificado, desta forma será
necessário colocá-los em um único arquivo no formato PKCS#12, que é o formato reconhecido
pelo Firewall.
8.
Crie o arquivo PKCS#12 com a chave privada e o certificado
openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey ca.key
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
4 de 9 Página: Neste processo serão solicitadas 2 senhas, a primeira para abertura da chave privada e a segunda
para a exportação do arquivo PKCS#12. Esta segunda senha será utilizada no momento da
importação do arquivo PKCS#12 no Firewall.
Enter pass phrase for ca.key:
Enter Export Password:
Verifying - Enter Export Password:
Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows
Este item não demonstra como efetuar a instalação de uma Autoridade Certificadora (CA) no Windows, e sim como
utilizar uma já instalada, sendo a instalação desta um pré-requisito para continuidade deste processo.
1.
Abra a console de gerenciamento de autoridade certificadora em Start > Administrative Tools >
Certification Authority (Iniciar > Ferramentas Administrativas > Autoridade de certificação)
2.
Selecione a sua CA
3.
4.
Nestes próximos passos iremos exporta o certificado X.509 da CA.
Clique com o botão direito do mouse e clique em Properties (Propriedades)
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
5 de 9 Página: 5.
Selecione o último certificado da CA e clique em View Certificate (Exibir certificado)
6.
Na tela de visualização do certificado clique em Details (detalhes) e depois em Copy to file (Copiar para
arquivo)
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
6 de 9 Página: 7.
8.
9.
Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado futuramente para instalação
nos clientes.
Nestes próximos passos iremos exportar o arquivo no formato PKCS#12 para a utilização no Firewall.
Volte para a tela principal da autoridade certificadora. Clique com o botão direito do mouse no nome da CA
e clique em All Tasks (Todas as tarefas) e clique em Back up CA (Fazer Backup da autoridade de
cert...)
Na próxima tela clique em Avançar. Na tela subseqüente selecione somente o item Private key and CA
certificate (Chave particular e certificado de autoridade de certificação), indique o diretório onde será
salvo o arquivo, clique em avançar.
10. Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Esta senha será utilizada no momento
da importação do arquivo PKCS#12 no firewall.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
7 de 9 Página: Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Esta senha será utilizada no momento
da importação do arquivo PKCS#12 no firewall.
Importando certificado X.509 no Windows
A importação deste certificado na base do Windows tem efeito em todos os aplicativos que o consultam como base
dos certificados confiáveis. Na lista destes aplicativos estão:
o
o
o
Internet Explorer
Google Chrome
Windows live Messenger (MSN)
1.
Abra o Microsoft Managment Console. Vá em Iniciar > Executar e digite mmc e clique em OK.
2.
Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove snap-in... (Adicionar/remover
snap-in...)
Selecione a opção Certificates (Certificados) e clique em Add (Adicionar)
3.
4.
5.
Selecione a opção Computer account (Conta de computador), selecione a opção Local Computer
(Computador local).
Na opção Certificates > Trusted Root Certification Authorities > Certificates (Certificados >
Autoridade de certificação raiz confiáveis > Certificados) clique com o botão direito e clique em All
tasks > Import (Todas as tarefas > Importar).
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: 8 de 9 Página: 6.
Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Importando certificado X.509 no Windows
1.
Clique em Ferramentas > Opções
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
9 de 9 Página: 2.
Selecione a opção Avançado > Criptografia
3.
Selecione a opção Certificados, na tela de certificados selecione a aba Autoridades e clique no botão
Importar.
4.
Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
Manual Sistema FCI Versão 1.0.8 (20/02/2014) GOVERNO DO ESTADO DE SÃO PAULO

Manual Sistema FCI Versão 1.0.8 (20/02/2014) GOVERNO DO ESTADO DE SÃO PAULO

HOW TO  Melhores práticas de configuração  do ASMG – Filtragem Global 

HOW TO  Melhores práticas de configuração  do ASMG – Filtragem Global 

Como bl

Como bl

HOW TO  Rotas estáticas podem interferir no  funcionamento do Balanceamento  de Link do Firewall Aker 

HOW TO  Rotas estáticas podem interferir no  funcionamento do Balanceamento  de Link do Firewall Aker 

HOW TO Como c configurar a  Secure R

HOW TO Como c configurar a  Secure R

MANUAL DE UTILIZAÇÃO Instrução para uso do Certificado

MANUAL DE UTILIZAÇÃO Instrução para uso do Certificado

MANUAL DO SITE www.oabprev-rj.com.br

MANUAL DO SITE www.oabprev-rj.com.br

Manual acesso ao Go-Global

Manual acesso ao Go-Global

Manual Ilustrado – População e Paciente – TOTVS Gestão Hospitalar

Manual Ilustrado – População e Paciente – TOTVS Gestão Hospitalar

MANUAL DE USO DO SISTEMA DE POLÍTICAS EM SAÚDE CADASTRAMENTO DE PROPOSTAS

MANUAL DE USO DO SISTEMA DE POLÍTICAS EM SAÚDE CADASTRAMENTO DE PROPOSTAS

Document 312200

Document 312200

A B I M

A B I M

Manual do Advogado em Início de Carreira

Manual do Advogado em Início de Carreira

Manual de Procedimentos de Acesso VPN Versão 3.2

Manual de Procedimentos de Acesso VPN Versão 3.2

- MANUAL DE ORIENTAÇÃO - Módulo Veículos: Transmissão em Lote de

- MANUAL DE ORIENTAÇÃO - Módulo Veículos: Transmissão em Lote de

MANUAL RAIS 2014 ano base 2013 Página 1

MANUAL RAIS 2014 ano base 2013 Página 1

abcdocz.com

© Copyright 2024