Antes de gerar seu Certificado SSL, o solicitante de certificado deve criar uma Solicitação de Assinatura de Certificado (CSR) para um nome de domínio ou nome de host em seu servidor web. A CSR é uma maneira padronizada de enviar a chave pública da Autoridade de Certificado de Emissão (CA), que é emparelhada com uma chave privada secreta no servidor, e fornece informações relevantes sobre o solicitante, conforme indicado abaixo:
- Nome Comum/Common Name (CN):
Este é o Nome de Domínio Totalmente Qualificado/Fully Qualified Domain Name (FQDN) do seu servidor (ou seja, www.google.com). Isso deve corresponder exatamente ao que você digita no seu navegador ou você pode receber um erro de segurança.
- Nome da organização/Organization Name (O):
O nome legal de sua empresa/organização (ou seja, Google, Inc.) . Não abreviar o nome da sua empresa e ele deve incluir o identificador corporativo, como Inc., Corp ou LLC (se aplicável). Para pedidos de DV, você pode usar seu nome pessoal (ou seja, John Doe).
- Unidade de Organização/Organization Unit (OU):
A unidade ou divisão da empresa/organização que gerencia o certificado (ou seja, Departamento de TI).
- Localidade/Locality (L):
A cidade em que você está localizado (ou seja, Mountain View)
- Nome do Estado ou da Província/State or Province Name (ST):
O estado ou província em que você está localizado (ou seja, Califórnia)
- País/Country (C):
O país em que você está localizado (ou seja, Estados Unidos ou EUA)
- Endereço de e-mail/E-Mail Address:
Um endereço de e-mail associado à empresa (ou seja, webmaster@google.com)
- Comprimento da raiz/Root Length:
O comprimento de bit do par de chaves determina a força da chave e a facilidade com que ela pode ser rachada usando métodos de força bruta. O tamanho da chave de 2048 bits é o novo padrão do setor e é usado para garantir a segurança bem no futuro previsível.
- Algoritmo de assinatura/Signature Algorithm:
O algoritmo de hashing é usado pela emissão de autoridades de certificados para realmente assinar certificados e CRLs (Certificate Revocation List) para gerar valores de hash exclusivos a partir de arquivos. É altamente recomendável que seu certificado seja assinado com o SHA-2, pois este é o algoritmo de assinatura mais forte adotado pela indústria.
Como mencionado acima, além de criar um CSR, o servidor web também exportará outro arquivo chamado de chave privada. A chave privada é uma chave criptográfica única relacionada à CSR correspondente e nunca deve ser compartilhada com ninguém fora do seu ambiente de servidor protegido. A chave privada é matematicamente usada para descriptografar quaisquer dados confidenciais que são transmitidos e criptografados com sua chave pública correspondente e vice-versa. Se a chave privada for perdida ou comprometida, os usuários mal-intencionados poderão ler suas comunicações criptografadas e colocar a reputação da sua organização em risco, o que derrota toda a metodologia por trás do PKI (Public Key Infrastructure, infra-estrutura de chaves públicas). Se a chave privada for perdida ou comprometida, recomendamos criar um novo par de chaves e substituir ou reemitir seu Certificado SSL.
Exemplo CSR
A maioria dos CSRs são criados no formato PEM codificado base-64 e incluem as linhas “—–BEGIN CERTIFICATE REQUEST—–” e “—–END CERTIFICATE REQUEST—–” como as tags de cabeçalho e rodapé do CSR. Um csr padrão de formato PEM será parecido com o seguinte exemplo:
Se você criar uma CSR e desejar verificar a exatidão dos detalhes contidos dentro (ou seja, Nome comum, Nome da Organização, etc.), você pode facilmente decodificar o texto criptografado usando nosso Decodificador de CSR. Esta ferramenta é comumente usada para solucionar problemas de mensagens de erro recebidas durante o processo de geração. Por exemplo, se você comprar um Certificado SSL Curinga e colar em um CSR com Nome Comum: www.google.com, você receberá uma mensagem de erro durante o processo de geração, uma vez que o Nome Comum não tem um asterisco “*” no nível de subdomínio mais distante esquerdo (ou seja, *.google.com) no campo Nome Comum. Esta ferramenta permitirá que você verifique o erro de entrada e prossiga com a criação de um novo par de chaves.
Ao fazer sua CSR e chave privada, consulte nossas Instruções de Geração de CSR fáceis de ler para o ambiente específico do servidor. Se você não tiver certeza de qual servidor está usando ou precisar de assistência durante qualquer etapa dentro do processo, entre em contato com nossa equipe de Suporte Técnico 24×7 amigável por telefone, chat ao vivo ou e-mail.