Red Hat Enterprise Linux 3: Guia de Administração de Sistemas | ||
---|---|---|
Anterior | Capítulo 27. Configuração do Servidor Seguro HTTP Apache | Próxima |
Após criar a chave, o próximo passo é gerar um pedido de certificado, que precisa ser enviado à sua CA escolhida. Certifique-se de estar no diretório /usr/share/ssl/certs e digite o seguinte comando:
make certreq |
Seu sistema exibe o seguinte output e pede sua senha (a não ser que você tenha desabilitado sua opção de senha):
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter pass phrase: |
Digite a senha que escolheu quando gerou sua chave. Seu sistema apresenta algumas instruções e pede que você responda uma série de perguntas. Seus inputs são incorporados ao pedido do certificado. O display, com exemplos de respostas, parece com o seguinte:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:North Carolina Locality Name (eg, city) [Newbury]:Raleigh Organization Name (eg, company) [My Company Ltd]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.example.com Email Address []:admin@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
As respootas default aparecem entre colchetes [] imediatamente após cada pedido do input. Por exemplo: a primeira informação requisitada é o nome do país onde o certificado será usado, exibido como o seguinte:
Country Name (2 letter code) [GB]: |
O input default, entre colchetes, é GB. Para aceitar o default, pressione
Você deve digitar os valores restantes. Todos eles devem ser auto-explicativos, mas você deve seguir estas regras:
Não abrevie a localidade ou estado. Escreva-os (ex.: St. Louis deve ser escrito Saint Louis).
Se você está enviando este CSR para uma CA, cuidado para prover as informações corretas em todos os campos, e especialmente no Nome da Empresa e no Nome Comum. As CAs verificam as informações providas no CSR para determinar se sua empresa é responsável pelo que você proveu no campo Nome Comum. As CAs rejeitam CSRs que incluem informações que consideram inválidas.
No Nome Comum, certifique-se de digitar o nome real do seu servidor seguro (um nome DNS válido) e não apelidos que o servidor tenha.
O Endereço de E-mail deve ser o endereço de e-mail do webmaster ou do administrador de sistemas.
Evite caracteres especiais como @, #, &, !, etc. Algumas CAs rejeitam um pedido de certificado que contém um caractere especial. Portanto, se o nome de sua empresa inclui um e comercial (&), soletre-o como "e" ao invés de "&."
Não use nenhum dos atributos extras (Uma senha desafiadora e Um nome opcional para a empresa). Para continuar sem preencher estes campos, pressione
O arquivo /etc/httpd/conf/ssl.csr/server.csr é criado quando você terminar de inserir as informações. Este arquivo é o seu pedido de certificado, pronto para ser enviado à sua CA.
Após ter escolhido uma CA, siga as instruções que esta provém em seu site. Suas instruções explicam como enviar seu pedido de certificado, quaisquer outros documentos que precisarem e seu pagamento.
Após você atender aos requisitos da CA, esta envia um certificado a você (geralmente por e-mail). Salve (ou recorte e cole) o certificado enviado a você como /etc/httpd/conf/ssl.crt/server.crt. Tenha certeza de manter uma cópia backup deste arquivo.