Ao gerar um CSR (Certificate Signing Request) em uma ferramenta como o OpenSSL, são criados dois arquivos:
-
O próprio CSR, que contém as informações da entidade solicitante e é enviado para a Autoridade Certificadora (CA) para emissão do certificado.
-
E a chave Privada, que permanece em posse do solicitante e nunca deve ser compartilhada.
Após a CA emitir o certificado digital (contendo a chave pública assinada), é necessário combiná-lo com a chave privada correspondente, criando um arquivo PKCS#12 (.pfx ou .12) para sua instalação no servidor ou equipamento que fará uso do certificado.
Além disso, para garantir a correta validação da cadeia de certificação, é recomendável incluir o arquivo de cadeia de certificados (CA Bundle), que contém os certificados da CA raiz e das CAs intermediárias responsáveis pela assinatura do certificado final.
Passo a passo usando OpenSSL
-
Verifique se tem os arquivos necessários:
-
private.key→ Chave privada criada na geração do CSR. -
certificate.crt→ Certificado assinado pela autoridade certificadora com base no CSR. -
ca_bundle.crt→ Cadeia de certificação da CA (opcional).
-
-
Comando para gerar o PKCS#12 (.pfx ou .p12):
-
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt -
-export→ Cria um arquivo de saída PKCS#12. -
-out certificate.pfx→ Nome do arquivo final. -
-inkey private.key→ Chave privada associada ao certificado. -
-in certificate.crt→ Certificado assinado. -
-certfile ca_bundle.crt→ Certificados CA raiz e intermediários (se houver). -
Você será solicitado a definir uma senha para proteger o arquivo
.pfx.
Observações:
-
Se a sua CA forneceu um único arquivo
.crt, normalmente não há necessidade de umca_bundle.crt, mas algumas aplicações exigem a cadeia de certificação completa. -
O arquivo
.pfxpode ser usado para importar o certificado em servidores, navegadores, equipamentos de rede e sistemas Windows. -
As extensões dos arquivos de entrada podem ser outras, até mesmo .txt.
Até a próxima.
