7.3. Criação de uma Chave de Criptografia SSL e Certificado

Procedimento 7.2. Criação de uma Chave de Criptografia SSL e Certificado

1. Geração de um keystore com as chaves pública e privada.

   Execute o seguinte comando para gerar um keystore nomeado server.keystore com o alias jboss no seu diretório atual.

   keytool -genkey -alias jboss -keyalg RSA -keystore server.keystore -storepass mykeystorepass --dname "CN=jsmith,OU=Engineering,O=mycompany.com,L=Raleigh,S=NC,C=US"

   Copy to Clipboard Toggle word wrap

   A seguinte tabela descreve os parâmetros usados no comando keytool:
   Expand

   Parâmetro	Descrição
   -genkey	O comando keytool para gerar um par de chave contendo uma chave pública e privada.
   -alias	O alias para o keystore. Este valor é arbritário, porém o alias jboss é o default usado pelo servidor do JBoss Web.
   -keyalg	O algoritmo de geração par da chave. Neste caso ele é o RSA.
   -keystore	O nome e a localização do arquivo keystore. A localização default é o diretório atual. O nome que você escolher é arbitrário. Neste caso, o arquivo será nomeado server.keystore.
   -storepass	Essa senha é usada para autenticar ao keystore de forma que a chave pode ser lida. A senha deve ser pelo menos de 6 caracteres e deve ser fornecida quando o keystore é acessado. Neste caso, nós usamos o mykeystorepass. Caso você omitir este parâmetro, você será solicitado a inserir o mesmo quando você executar o comando.
   -keypass	Esta é a senha para a chave atual. Nota Devido à limitação da implementação, ela deve ser a mesma senha à senha do store.
   --dname	A sequência cotada descrevendo o nome distinguido para a chave, por exemplo: "CN=jsmith,OU=Engineering,O=mycompany.com,L=Raleigh,C=US". Essa sequência é a concatenação dos seguintes componentes: CN - O nome comum ou nome do host. Caso o hostname seja "jsmith.mycompany.com", o CN será "jsmith". OU - A unidade da organização, por exemplo: "Engineering" O - O nome da organização, por exemplo "mycompany.com". L - A localidade, por exemplo: "Raleigh" ou "London" S - O estado ou província, por exemplo: "NC". Este parâmetro é opcional. C - O código de suas letras do país, por exemplo: "US" ou "UK",

   Show more
   Quando você executar o comando acima, você será solicitado a seguinte informação:

   • Caso não tenha usado o parâmetro -storepass na linha de comando, você será solicitado a inserir a senha keystore. Reinicie a nova senha na próxima solicitação.
   • Caso não tenha usado o parâmetro -keypass na linha de comando, você será solicitado a inserir a senha chave. Pressione Enter para configurá-la no mesmo valor ao da senha keystore.
   Quando o comando completar, o arquivo server.keystore conterá a chave única com o alias jboss.

2. Verifique a chave.

   Verifique se a chave funciona de forma apropriada usando o seguinte comando:

   keytool -list -keystore server.keystore

   Copy to Clipboard Toggle word wrap
   A senha é solicitada com o objetivo de autenticar o keystore. Os conteúdos do keystore são exibidos (neste caso, uma chave única chamada jboss). Perceba o tipo da chave jboss, que é keyEntry. Isto indica que o keystore contém ambas entradas privada e pública para esta chave.

3. Geração de um certificado assinando uma solicitação.

   Execute o seguinte comando para gerar um certificado assinando solicitação usando a chave pública e privada a partir do keystore que você criou na etapa 1.

   keytool -certreq -keyalg RSA -alias jboss -keystore server.keystore -file certreq.csr

   Copy to Clipboard Toggle word wrap
   A senha é solicitada com o objetivo de autenticar o keystore. O comando keytool então cria um novo certificado assinando a solicitação chamada certreq.csr no seguinte diretório de trabalho.

4. Teste o certificado recentemente gerado.

   Teste os conteúdos do certificado usando o seguinte comando.

   openssl req -in certreq.csr -noout -text

   Copy to Clipboard Toggle word wrap
   Os detalhes do certificado são apresentados.

5. Opcional: Submeta o seu certificado a um Certificate Authority (CA - Autoridade de Certificado).

   O Certificate Authority (CA) pode autenticar o seu certificado de forma que isto é considerado de confiança por clientes de terceiros. O CA fornece um certificado assinado e opcionalmente um ou mais certificados intermediários.

6. Opcional: Exporte um certificado autoassinado a partir do keystore.

   Caso você precisar disto para testes ou propósitos internos, você pode usar um certificado autoassinado. Você pode expor um do keysotre que você criou na etapa 1, conforme abaixo:

   keytool -export -alias jboss -keystore server.keystore -file server.crt

   Copy to Clipboard Toggle word wrap
   Você será solicitado a fornecer a senha com o objetivo de autenticar o keystore. O certificado autoassinado, nomeado server.crt, é criado no diretório de trabalho atual.

7. Importe o certificado assinado, juntamente com quaisquer certificados intermediários.

   Importe cada certificado na ordem que você está instruído pelo CA. Para cada certificado a ser importado, substitua o intermediate.ca ou server.crt pelo nome do arquivo atual. Caso os seus certificados não forem fornecidos como arquivos separados, crie um arquivo separado para cada certificado e cole os seus conteúdos no arquivo.

   Nota

   O seu certificado assinado e chaves do certificado são bens de valor. Tenha cuidado de como transportá-los entre os servidores.

   keytool -import -keystore server.keystore -alias intermediateCA -file intermediate.ca

   Copy to Clipboard Toggle word wrap

   keytool -import -alias jboss -keystore server.keystore -file server.crt

   Copy to Clipboard Toggle word wrap

8. Teste se seus certificados importaram com êxito.

   Execute o seguinte comando e insira a senha keystore quando solicitada. Os conteúdos de seu keystore são exibidos e os certificados fazem parte da lista.

   keytool -list -keystore server.keystore

   Copy to Clipboard Toggle word wrap