Ícone do site CooperaTI

Utilizando Certificados Digitais com OpenSSL e IIS no Windows

Bom Pessoal , Neste tutorial iremos tratar a utilização do OpenSSL como Autoridade Certificadora no Windows, tendo como base a utilização de um pacote de Scripts que serão configurados para atender nossas necessidades nesta implementação.
Link para Download dos Scripts e Pacote de Instalação:
O Arquivo está com senha, digite a senha: exemplo para descompactar o arquivo.
http://sdrv.ms/LBiFJy

Pré-Requisitos:
Instalar o Software para Suportar a Geração de Certificados Digitais, conforme sequencia abaixo.
1. Instalar o Pacote (vcredist_x86.exe).
2. Instalar o Pacote do OpenSSL(Win32OpenSSL-1_0_1c.exe).

Após instalação dos pré-requisitos , reinicie o sistema para que no próximo boot as dll´s do OpenSSL possam ser carregadas junto com o sistema e suas variáveis de ambiente estejam acessíveis.
1. Ordem de Configuração dos Arquivos:
1.1 init.cmd
1.2 0_CASetup_Pre-reqs.cmd
1.3 1_CASetup.cmd
1.4 CreateAllPurpose-NoCodeSigning.cmd
1.5 CreateCodeSigning.cmd
1.6 CreateSSLCert.cmd
1.7 CreateSSLCertWebIIS.cmd
1.8 Openssl.cfg

Para Configurar os arquivos de configuração , terá que ser alterado a linha que possui o argumento abaixo , conforme o nome da sua CA.
SET CANAME=Exemplo
Substitua o nome “Exemplo” pelo nome da sua CA.

Configurando o Openssl.cfg:





Obs: Altere as informações acima conforme a configuração da sua CA.
2. Ordem de execução , para gerar CA(Certificate Authority, traduzindo Autoridade Certificadora).
2.1 Execute no Prompt de comando: 0_CASetup_Pre-reqs.cmd

Obs: Após gerar os pré-requisitos para utilização da CA, copie o arquivo que foi configurado com as informações da sua CA. no caso o “openssl.cfg”.
2.2 Execute no Prompt de comando: 1_CASetup.cmd

Depois que copiar o arquivo para a Pasta da sua entidade certificadora gerada pelo primeiro script, verifique se ela foi criada em “C:\OpenSSL-Win32\bin”.
Quando executar o 1_CASetup.cmd , irá solicitar a senha e a confirmação da senha.
3. Processo de Gerar Certificado de requisição SSL no IIS e assinar certificado pelo OpenSSL.
Pré-requisito:
– todo certificado gerado para um site tem que possuir um domínio qualificado(fqdn), para evitar a invalidação da cadeia de certificado para o site.
3.1 no Console do IIS Manager(inetmgr) em Server Certificates.
3.2 Assinar Requisição Gerada e importar o certificado assinado.













4. Processo de Gerar Certificado de requisição SSL para servidor web no OpenSSL e assina-lo com o OpenSSL.
Pré-requisito:
– todo certificado gerado para um site tem que possuir um domínio qualificado(fqdn), para evitar a invalidação da cadeia de certificado para o site.
4.1 Assinar Requisição Gerada e importar o certificado assinado.

4.2 Importar Certificado digital gerado somente pelo OpenSSL no IIS.





5. Fazendo a Importação da Cadeia de Certificado Raiz da CA gerada, no caso de invalidação do certificado digital no browser.
5.1 Abrir o Console MMC no Windows, adicionar o Snap-in dos Certificados digitais referente ao Computador local.














6. Após a importação da Chave da Autoridade Certificadora os sites serão validados no browser:


Abaixo , Link do video de implementação do Post:
http://www.youtube.com/watch?v=_sKHv5hwyuA
Fontes:
http://www.mail-archive.com/openssl-users@openssl.org/msg31923.html
http://www.dylanbeattie.net/docs/openssl_iis_ssl_howto.html
http://silkspun.com/2012/02/29/an-openssl-ca-on-windows/

Sair da versão mobile