HOW TO Gerando certificado digital, auto

HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
1 de 9 Página: Introdução
Este FAQ visa demonstrar como efetuar a geração de um certificado digital no formato PKCS#12, bem como a
importação do certificado X509 nos navegadores.
O que é um certificado digital?
Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das entidades que irá
realizar uma comunicação, de forma a garantir sua autenticidade.
Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509. Este comumente utiliza-se das
extensões “pem”, “cer” e “crt”.
Formato PKCS#12
O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do certificado X.509 acompanhado da
chave privada. Esse arquivo geralmente tem a extensão “pfx” e “p12”.
Comunicação HTTPS
A comunicação HTTPS utiliza-se do sistema de certificação digital. Quando o cliente acessa um site com HTTPS o
servidor envia ao cliente o certificado X.509 (que contém sua chave pública). De posse deste certificado o navegador
(cliente) faz algumas validações:
o
o
o
Validade do certificado;
Se o CN (Common Name) do certificado é o host da url;
Se a autoridade certificadora que assinou o certificado é uma autoridade confiável.
Após a validação ocorrer com sucesso, o cliente efetua o processo de comunicação de requisições e respostas HTTP.
Gerando certificado para utilização do Firewall
Como o proxy HTTPS transparente atua como man-in-the-middle, ou seja, ele precisa gerar o certificado ao cliente e
este precisa valida-lo.
Para que o Firewall possa gerar certificados ele atua como uma Autoridade Certificadora (CA), ou seja, ele gera os
certificados para os sites no qual é acessado através do Proxy. Alguns pré-requisitos são necessários para realizar este
processo:
o
o
O firewall necessita de um certificado digital no formato PKCS#12, pois somente este tem a chave privada;
O Certificado X.509 contido no PKCS#12 necessita ser um certificado com prerrogativas específicas para
que este certificado possa assinar novos certificados, ou seja, atuar como uma CA.
Há várias possibilidades de gerar o certificado, neste FAQ serão explicadas duas delas. Não é necessário realizar estas
duas formas para o correto funcionamento do Firewall, portanto escolha uma delas e realize somente ela.
1.
2.
Gerando um certificado auto-assinado com o OpenSSL;
Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.
Ao final de qualquer um dos 2 processos escolhidos haverão 2 arquivos que serão utilizados no processo do Proxy
HTTPS:
1.
2.
Arquivo no formato X.509, com extensão .cer;
Arquivo no formato PKCS#12, com extensão .pfx.
O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. Para maiores informações verificar o item
correspondente no manual do Firewall. Já o arquivo X.509 precisa ser importado na seção de autoridades
certificadoras raiz confiáveis dos navegadores conforme demonstrado posteriormente neste FAQ.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: 2 de 9 Página: Gerando certificado auto-assinado com o OpenSSL
1.
2.
3.
4.
5.
Efetue a instalação do OpenSSL;
Crie um diretório para utilizações durante este processo.
Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”
Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”
Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinte conteúdo:
RANDFILE = .rnd
[ ca ]
default_ca = CA_default
[ CA_default ]
certs = certs
crl_dir = crl
database = database.txt
new_certs_dir = certs
certificate = cacert.pem
serial = serial.txt
crl = crl.pem
private_key = privatecakey.pem
RANDFILE = privateprivate.rnd
default_days = 365
default_crl_days= 3
default_md = sha1
preserve = no
policy = policy_match
[ policy_match ]
commonName = supplied
emailAddress = optional
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName = Common Name (eg, your website`s domain name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 40
countryName = Country Name (2 letter code)
countryName_min = 2
countryName_max = 2
countryName_default = BR
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
3 de 9 Página: keyUsage = critical,cRLSign, keyCertSign, digitalSignature
6.
Crie a chave privada que será utilizada
openssl genrsa -des3 -out ca.key 1024
Neste momento será solicitada a senha para armazenamento da chave, que será utilizada
posteriormente para abertura da chave privada.
Loading `screen` into random state - done
Generating RSA private key, 1024 bit long modulus
..............++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
7.
Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para instalação nos clientes.
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key ca.key -out
firewall.cer
Neste momento algumas informações serão solicitadas, a primeira delas é a senha da chave
privada
criada no passo anterior.
Enter pass phrase for ca.key:
Agora serão solicitados os dados do certificado, o único item obrigatório é o Common Name
(CN), nele adicione o nome como deseja que a sua CA seja identificada.
Após a finalização deste processo temos o nosso certificado conforme imagem abaixo:
Porém temos 2 arquivos, um para a chave privada e outro para o certificado, desta forma será
necessário colocá-los em um único arquivo no formato PKCS#12, que é o formato reconhecido
pelo Firewall.
8.
Crie o arquivo PKCS#12 com a chave privada e o certificado
openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey ca.key
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
4 de 9 Página: Neste processo serão solicitadas 2 senhas, a primeira para abertura da chave privada e a segunda
para a exportação do arquivo PKCS#12. Esta segunda senha será utilizada no momento da
importação do arquivo PKCS#12 no Firewall.
Enter pass phrase for ca.key:
Enter Export Password:
Verifying - Enter Export Password:
Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows
Este item não demonstra como efetuar a instalação de uma Autoridade Certificadora (CA) no Windows, e sim como
utilizar uma já instalada, sendo a instalação desta um pré-requisito para continuidade deste processo.
1.
Abra a console de gerenciamento de autoridade certificadora em Start > Administrative Tools >
Certification Authority (Iniciar > Ferramentas Administrativas > Autoridade de certificação)
2.
Selecione a sua CA
3.
4.
Nestes próximos passos iremos exporta o certificado X.509 da CA.
Clique com o botão direito do mouse e clique em Properties (Propriedades)
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
5 de 9 Página: 5.
Selecione o último certificado da CA e clique em View Certificate (Exibir certificado)
6.
Na tela de visualização do certificado clique em Details (detalhes) e depois em Copy to file (Copiar para
arquivo)
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
6 de 9 Página: 7.
8.
9.
Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado futuramente para instalação
nos clientes.
Nestes próximos passos iremos exportar o arquivo no formato PKCS#12 para a utilização no Firewall.
Volte para a tela principal da autoridade certificadora. Clique com o botão direito do mouse no nome da CA
e clique em All Tasks (Todas as tarefas) e clique em Back up CA (Fazer Backup da autoridade de
cert...)
Na próxima tela clique em Avançar. Na tela subseqüente selecione somente o item Private key and CA
certificate (Chave particular e certificado de autoridade de certificação), indique o diretório onde será
salvo o arquivo, clique em avançar.
10. Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Esta senha será utilizada no momento
da importação do arquivo PKCS#12 no firewall.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
7 de 9 Página: Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Esta senha será utilizada no momento
da importação do arquivo PKCS#12 no firewall.
Importando certificado X.509 no Windows
A importação deste certificado na base do Windows tem efeito em todos os aplicativos que o consultam como base
dos certificados confiáveis. Na lista destes aplicativos estão:
o
o
o
Internet Explorer
Google Chrome
Windows live Messenger (MSN)
1.
Abra o Microsoft Managment Console. Vá em Iniciar > Executar e digite mmc e clique em OK.
2.
Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove snap-in... (Adicionar/remover
snap-in...)
Selecione a opção Certificates (Certificados) e clique em Add (Adicionar)
3.
4.
5.
Selecione a opção Computer account (Conta de computador), selecione a opção Local Computer
(Computador local).
Na opção Certificates > Trusted Root Certification Authorities > Certificates (Certificados >
Autoridade de certificação raiz confiáveis > Certificados) clique com o botão direito e clique em All
tasks > Import (Todas as tarefas > Importar).
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: 8 de 9 Página: 6.
Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Importando certificado X.509 no Windows
1.
Clique em Ferramentas > Opções
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
Aker Security Solutions
www.aker.com.br
HOW TO Gerando certificado digital, auto‐
assinado, para utilização no Proxy Produto: Versão do produto: Versão do documento: Data de revisão: Data da publicação: Aker Firewall
apartir da 6.5 patch 1
1.0
21/09/11
21/05/11
9 de 9 Página: 2.
Selecione a opção Avançado > Criptografia
3.
Selecione a opção Certificados, na tela de certificados selecione a aba Autoridades e clique no botão
Importar.
4.
Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Documentação Auxiliar de Produto – Aviso Legal: esta documentação deve ser utilizada somente por
administradores ou usuários experientes, preferencialmente em horário que uma alteração de configuração não
impacte no funcionamento do ambiente. A Aker não é responsável pelo mau uso deste documento.
Aker Security Solutions
www.aker.com.br