O que exatamente é uma Solicitação de Assinatura de Certificado (CSR ou Certificate Sign Request)?
Certificados digitais desempenham um papel vital na garantia da segurança das comunicações online e dos dados. Em particular, os certificados SSL/TLS estabelecem a confiança dos usuários ao protegerem os sites, assegurando que os dados dos usuários - como informações pessoais ou financeiras - estejam devidamente resguardados.
Não há como subestimar o valor dos certificados SSL no cenário digital repleto de ameaças atual, no entanto, o processo de obtenção de um certificado, especialmente o mais adequado para as necessidades de sua empresa, pode por vezes parecer complexo e até frustrante. Isso decorre, em parte, da quantidade considerável de informações frequentemente necessárias no processo de emissão, sobretudo ao lidar com o aspecto mais intrincado e crucial da obtenção de um certificado digital: a submissão da Solicitação de Assinatura de Certificado (CSR).
Uma vez que você compreenda o funcionamento das CSRs e sua importância, você estará mais bem preparado para navegar pelo processo de solicitação. Para auxiliá-lo, iremos explicar tudo o que você precisa saber sobre as CSRs: o que são, por que são essenciais e como enviá-los para obter um certificado SSL/TLS.
O que é uma CSR?
Uma Solicitação de Assinatura de Certificado (CSR) é uma mensagem criptografada que contém informações essenciais sobre a pessoa ou organização que deseja obter um certificado digital. Ela oferece uma solução padronizada para enviar chaves públicas a autoridades de certificação (CAs) por meio de um arquivo codificado.
Uma CSR é um componente crítico da infraestrutura de chave pública (PKI) e, essencialmente, funciona como o primeiro passo para solicitar certificados SSL/TLS.
Quais são os requisitos?
Cada Solicitação de Assinatura de Certificado (CSR) deve incluir alguns elementos-chave para identificar o solicitante:
O campo "CN" (Common Name) deve ser preenchido com o endereço web que será acessado por HTTPS://. Um Certificado SSL emitido para [www.seudominio.com] não será válido para [seguro.sedominio.com]. Nos certificados Wildcard, deve iniciar com um asterisco [*.seudominio.com].
O campo "O" (Organization) deve ser preenchido com a Razão Social ou Nome Fantasia, sem abreviações ou omissões, exatamente como consta no CNPJ da empresa solicitante;
Os campos "L" (Locality) e "S" (State) devem ser preenchidos com o nome do Município e do Estado onde a empresa se localiza, sem abreviações ou omissões.
O campo "C" (Country) deve ser preenchido somente com BR
Endereço de e-mail: um endereço de e-mail associado à empresa
Comprimento da raiz: O comprimento de bits do par de chaves determina a força da chave e a facilidade com que ela pode ser quebrada usando métodos de força bruta. O tamanho da chave de 2.048 bits é o novo padrão do setor e é usado para garantir a segurança no futuro próximo.
Algoritmo de Assinatura: O algoritmo de hash é usado pela Autoridade de Certificadora para assinar os certificados e CRLs (Lista de Revogação de Certificados). É altamente recomendável que seu certificado seja assinado com SHA-2, pois esse é o algoritmo de assinatura mais forte adotado pelo setor.
Além dos nomes das organizações e detalhes de localização, cada CSR envolve uma chave pública, que funciona como metade do par de chaves necessário para os certificados SSL. O processo de criação de uma CSR resulta na criação dessa chave pública, que será incluída na própria CSR.
Durante esse processo, uma chave privada também será criada. Diferentemente da chave pública, esta NÃO deve ser incluída na CSR ou disponibilizada para a CA. Em vez disso, ela deve ser protegida até mais tarde no processo, quando será necessária para instalar o certificado SSL.
A Importância da Chave Privativa
Como mencionado acima, além de criar uma CSR, o servidor também exportará outro arquivo chamado chave privativa (ou chave privada). A chave privada é uma chave criptográfica exclusiva relacionada a CSR e nunca deve ser compartilhada com ninguém fora do ambiente de servidor seguro. A chave privada é usada para descriptografar matematicamente quaisquer dados confidenciais que são transmitidos e criptografados com sua chave pública correspondente e vice-versa. Se a chave privada for perdida ou comprometida, usuários mal-intencionados poderão ler suas comunicações criptografadas e colocar em risco a reputação de sua organização, o que anula toda a metodologia por trás da Infraestrutura de Chave Pública (PKI). Se a chave privada for perdida ou comprometida, é altamente recomendável criar um novo par de chaves e substituir ou reemitir seu Certificado SSL.
Formato da CSR
Arquivos CSR são tipicamente abertos com editores de texto. Eles incluem cabeçalhos e rodapés, destinados a indicar quando a solicitação começa e termina. O padrão atual envolve um formato PEM (Privacy Enhanced Mail) baseado em Base-64. Classificado como um esquema de codificação binária para texto, isso é amplamente considerado como o formato de referência para o envio de chaves criptográficas.
Abaixo, fornecemos um exemplo detalhado do que você pode encontrar visualmente ao enviar um CSR:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
Se você criou uma CSR e desejar verificar detalhes contidos nela (ou seja, nome comum, nome da organização etc.), poderá decodificar facilmente o texto criptografado usando nosso Decodificador CSR . Essa ferramenta é usada para solucionar problemas de mensagens de erro recebidas durante o processo de geração. Por exemplo, se você comprar um Certificado SSL Wildcard (Curinga) e colar uma CSR com o Common Name (CN): www.xyz.com, você receberá uma mensagem de erro, pois o Common Name não tem um asterisco (*.) no nível do subdomínio (ou seja, *.xyz.com). Esta ferramenta permitirá que você verifique os erros e prossiga com a criação de um novo par de chaves.
Importância das Solicitações de Assinatura de Certificado (CSRs)
A CSR representa um dos primeiros e mais cruciais passos no processo de obtenção de um certificado SSL/TLS. As informações contidas na CSR possibilitam que a Autoridade Certificadora (AC) crie os certificados solicitados.
Do ponto de vista prático, as CSRs são essenciais porque, sem elas, torna-se praticamente impossível obter os necessários certificados SSL/TLS de ACs confiáveis. Esses certificados desempenham um papel crucial na construção da confiança dos clientes, que desejam ter a garantia de que suas informações são transmitidas de forma segura. A Solicitação de Assinatura de Certificado estabelece o alicerce dessa sólida relação de confiança."
Como gerar uma CSR em diferentes plataformas
Agora que você compreende o valor de uma CSR, é hora de dar o próximo passo: realmente produzir e enviar a solicitação. Isso pode ser complicado, em parte, porque a geração do código CSR pode parecer um pouco diferente de uma plataforma para a outra. Cada plataforma apresenta vantagens e desafios distintos, mas destacamos abaixo algumas das soluções mais comuns:
Para uma lista maior de servidores, clique aqui (em Inglês)
Dúvidas Comuns e Dicas
Muitas vezes, o maior desafio ao criar uma CSR envolve a leitura e compreensão da solicitação real quando ela está no formato PEM recomendado. Outras preocupações comuns incluem:
Informações de nome imprecisas.
A atenção aos detalhes é crucial ao criar e enviar uma CSR. Isso é especialmente importante para os detalhes de nome, incluindo o Nome de Domínio Totalmente Qualificado (FQDN) e o nome legal da empresa em questão. Portanto, a necessidade de um decodificador para garantir que os nomes sejam apresentados com precisão.
Procurando certificados SSL de vários domínios.
A geração de uma CSR não precisa causar dores de cabeça contínuas quando você deseja proteger vários domínios. Em caso de dúvida, os arquivos de configuração do OpenSSL podem ser ajustados para incluir nomes alternativos (Alt ou SAN). Como sempre, os requisitos variarão com base no tipo de certificado e no nível de validação desejado.
Testando e decodificando a CSR.
Para garantir que a CSR esteja pronta para ser enviada para a AC desejada, use uma ferramenta de decodificação para verificar se ela está formatada corretamente. A Sectigo oferece acesso gratuito a um decodificador de CSR , para que você possa ter confiança ao enviar sua CSR e dar um dos passos mais cruciais para obter certificados SSL/TLS.
Proteja o seu site com a Sectigo
Agora que você está familiarizado com o processo de CSR, é hora de determinar quais certificados você usará para proteger o seu site. Na Sectigo, oferecemos uma variedade de opções para obter e gerenciar certificados digitais. Conheça nossos certificados!
