Criando um PKCS12 (chave pública e privada) com o OpenSSL

/ / Published in Security

Ao gerar um CSR (Certificate Signing Request) em uma ferramenta como o OpenSSL, são criados dois arquivos:

  • O próprio CSR, que contém as informações da entidade solicitante e é enviado para a Autoridade Certificadora (CA) para emissão do certificado.
  • E a chave Privada, que  permanece em posse do solicitante e nunca deve ser compartilhada.

Após a CA emitir o certificado digital (contendo a chave pública assinada), é necessário combiná-lo com a chave privada correspondente, criando um arquivo PKCS#12 (.pfx ou .12) para sua instalação no servidor ou equipamento que fará uso do certificado.

 

PKCS12

Livro CCNA

Além disso, para garantir a correta validação da cadeia de certificação, é recomendável incluir o arquivo de cadeia de certificados (CA Bundle), que contém os certificados da CA raiz e das CAs intermediárias responsáveis pela assinatura do certificado final.

Passo a passo usando OpenSSL

  1. Verifique se tem os arquivos necessários:
    • private.key → Chave privada criada na geração do CSR.
    • certificate.crt → Certificado assinado pela autoridade certificadora com base no CSR.
    • ca_bundle.crt  → Cadeia de certificação da CA (opcional).
  2. Comando para gerar o PKCS#12 (.pfx ou .p12):
  • openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt
  • -export → Cria um arquivo de saída PKCS#12.
  • -out certificate.pfx → Nome do arquivo final.
  • -inkey private.key → Chave privada associada ao certificado.
  • -in certificate.crt → Certificado assinado.
  • -certfile ca_bundle.crt → Certificados CA raiz e intermediários (se houver).
  • Você será solicitado a definir uma senha para proteger o arquivo .pfx.

Observações:

  • Se a sua CA forneceu um único arquivo .crt, normalmente não há necessidade de um ca_bundle.crt, mas algumas aplicações exigem a cadeia de certificação completa.
  • O arquivo .pfx pode ser usado para importar o certificado em servidores, navegadores, equipamentos de rede e sistemas Windows.
  • As extensões dos arquivos de entrada podem ser outras, até mesmo .txt.

Até a próxima.

Tagged under: , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Cisco compra Splunk
Problema no clock afeta produtos Cisco (e outros fabricantes)
Upgrade ASA em appliance Firepower (Platform Mode)

You must be logged in to post a comment.