Criando um PKCS12 (chave pública e privada) com o OpenSSL

/ / Published in Security

Ao gerar um CSR (Certificate Signing Request) em uma ferramenta como o OpenSSL, são criados dois arquivos:

  • O próprio CSR, que contém as informações da entidade solicitante e é enviado para a Autoridade Certificadora (CA) para emissão do certificado.
  • E a chave Privada, que  permanece em posse do solicitante e nunca deve ser compartilhada.

Após a CA emitir o certificado digital (contendo a chave pública assinada), é necessário combiná-lo com a chave privada correspondente, criando um arquivo PKCS#12 (.pfx ou .12) para sua instalação no servidor ou equipamento que fará uso do certificado.

 

PKCS12

Livro CCNA

Além disso, para garantir a correta validação da cadeia de certificação, é recomendável incluir o arquivo de cadeia de certificados (CA Bundle), que contém os certificados da CA raiz e das CAs intermediárias responsáveis pela assinatura do certificado final.

Passo a passo usando OpenSSL

  1. Verifique se tem os arquivos necessários:
    • private.key → Chave privada criada na geração do CSR.
    • certificate.crt → Certificado assinado pela autoridade certificadora com base no CSR.
    • ca_bundle.crt  → Cadeia de certificação da CA (opcional).
  2. Comando para gerar o PKCS#12 (.pfx ou .p12):
  • openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt
  • -export → Cria um arquivo de saída PKCS#12.
  • -out certificate.pfx → Nome do arquivo final.
  • -inkey private.key → Chave privada associada ao certificado.
  • -in certificate.crt → Certificado assinado.
  • -certfile ca_bundle.crt → Certificados CA raiz e intermediários (se houver).
  • Você será solicitado a definir uma senha para proteger o arquivo .pfx.

Observações:

  • Se a sua CA forneceu um único arquivo .crt, normalmente não há necessidade de um ca_bundle.crt, mas algumas aplicações exigem a cadeia de certificação completa.
  • O arquivo .pfx pode ser usado para importar o certificado em servidores, navegadores, equipamentos de rede e sistemas Windows.
  • As extensões dos arquivos de entrada podem ser outras, até mesmo .txt.

Até a próxima.

Tagged under: , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

PuTTY: Mudando as configurações e fazendo backup
Novas Certificações Fortinet (2023)
Gerando gráfico no Splunk–Hosts com mais conexões bloqueadas

You must be logged in to post a comment.