Escolar Documentos
Profissional Documentos
Cultura Documentos
capturada e outras pessoas podero se passar por voce. Caso deseje desproteger a chave, use o comando: openssl rsa -in CHAVE.key -out CHAVE.unsecure 2. No comando anterior, o arquivo private/CA.key foi gerado. Voce pode v-lo com o comando: cat private/CA.key A chave privada se parece com o texto abaixo: -----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,0947F49BB28FE5F4 jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+viMcBUCRW85UqI2BJJKTi1IwQQ4c tyTrhYJYOP+A6JXt5BzDzZy/B7tjEMDBosPiwH2m4MaP+6wTbi1qR1pFDL3fXYDr ZsuN08dkbw9ML6LOX5Rl6bIBL3i5hnGiqm338Fl52gNstThv0C/OZhXT3B4qsJn8 qZb3mC6U2nRaP/NpZPcEx4lv2vH7OzHTu1TZ7t0asSpgpuH58dfHPw775kZDep2F LXA3Oeavg0TLFHkaFBUx2xaeEG6Txpt9I74aAsw1T6UbTSjqgtsK0PHdjPNfPGlY 5U3Do1pnU9hfoem/4RAOe0cCovP/xf6YPBraSFPs4XFfnWwgEtL09ReFqO9T0aSp 5ajLyBOYOBKQ3PCSu1HQDw/OzphInhKxdYg81WBBEfELzSdMFQZgmfGrt5DyyWmq TADwWtGVvO3pEhO1STmCaNqZQSpSwEGPGo5RFkyFvyvyozWX2SZg4g1o1X40qSg9 0FMHTEB5HQebEkKBoRQMCJN/uyKXTLjNB7ibtVbZmfjsi9oNd3NJNVQQH+o9I/rP wtFsjs+t7SKrsFB2cxZQdDlFzD6EBA+5ytebGEI1lJHcOUEa6P+LTphlwh/o1QuN IKX2YKHA4ePrBzdgZ+xZuSLn/Qtjg/eZv6i73VXoHk8EdxfOk5xkJ+DnsNmyx0vq W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1iLs4GOwe/V0udDNwr2Uw90tefr3q X1OZ9Dix+U0u6xXTZTETJ5dF3hV6GF7hP3Tmj9/UQdBwBzr+D8YWzQ== -----END RSA PRIVATE KEY----3. O OpenSSL permite visualizar detalhes da sua chave privada com o comando: openssl rsa -text -in private/CA.key | more 4. Agora vamos gerar a chave pblica com o comando abaixo: openssl rsa in private/CA.key pubout out CA.pub
Comentrio: Arquivos com extenso .PEM usam o padro Privacy-Enhanced Mail. No caso de um certificado, suas informaes ficam entre "-----BEGIN CERTIFICATE-----" e "-----END CERTIFICATE-----". 2. Podemos visualizar o certificado com o comando: openssl x509 -in CA_RAIZ.pem -noout -text | more
subcomando do openssl para gerao de certificados o nome do certificado a ser gerado indica o arquivo contendo a chave privada do certificador indica o arquivo contendo o certificado raiz do certificador indica o nome do arquivo de configurao (com outras opes e defaults) os arquivos contendo os CSR a serem assinados
A sada do comando mostrar informaes sobre o certificado a ser gerado e pedir confirmao para gerar o certificado. A sada da seguinte forma: Using configuration from ./openssl.cnf Enter pass phrase for privado/CA.key: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 1 (0x1) Validity Not Before: Feb 4 15:30:50 2007 GMT Not After : Feb 4 15:30:50 2008 GMT Subject: countryName = BR stateOrProvinceName = Paraiba organizationName = SEUNOME organizationalUnitName = Web Site commonName = www.SEUNOME.com.br emailAddress = contato@SEUNOME.com.br X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: BC:48:50:2C:4E:41:3C:53:B7:7A:21:00:1F:D2:66:09:A5:6A:5C:C3 X509v3 Authority Key Identifier: keyid:CB:4B:5A:33:32:66:A6:A1:0E:07:53:E0:E9:98:4E:CF:E4:F4:75:DB DirName:/C=BR/ST=Paraiba/L=Joao Pessoa/O=CEFETPB/OU=COINFO/CN=Jose Jubiraba/emailAddress=jjubiraba@gmail.com serial:F5:E1:CA:8E:66:E7:EF:A8 Certificate is to be certified until Feb 4 15:30:50 2008 GMT (365 days) Sign the certificate? [y/n]: [DIGITE y e ENTER] 1 out of 1 certificate requests certified, commit? [y/n] [DIGITE y e ENTER] Write out database with 1 new entries Data Base Updated 2. Este processo atualizou o banco de dados de certificados e produziu dois arquivos: a) o certificado www.SEUNOME.pem e uma cpia dele no diretrio newcerts. 3. Veja que o arquivo serial foi incrementado cat serial 4. Veja que o arquivo index.txt contm infomaes sobre o certificado gerado cat index.txt 5. Veja que existe uma cpia do certificado no diretrio newcerts. Os nomes das cpias acompanham as informaes contidas em index.txt. ls l newcerts 6. Faa o comando abaixo para ver o arquivo www.SEUNOME.pem gerado more www.SEUNOME.pem Observe que o arquivo de certificado contm duas partes de informaes: informaes legveis e no legveis (depois de ----- BEGIN CERTIFICATE-----). Voce pode eliminar a parte legvel com os comandos:
IFPB Disciplina: Segurana de Redes Prof. Dnio Mariz
mv www.SEUNOME.pem tmp.pem openssl x509 -in tmp.pem -out www.SEUNOME.pem rm tmp.pem 7. Sempre que desejado, possvel visualizar o certificado gerado com o comando: openssl x509 -in www.SEUNOME.pem text noout purpose | more
Voce tem a opo de fechar a pgina (no continuar com a conexo SSL) ou continuar, assumindo os riscos. No caso do Firefox, um aviso mostrado mas o usurio pode examinar o certificado e aceitar o rejeitar. Veja abaixo:
4. Agora examine o certificado (se o browser permitir) e depois aceite o certificado. 5. Observe que o browser mostra informaes sobre a conexo SSL. 6. Cancele a execuo do comando openssl s_server com CTRL-C.