Base de Conhecimento
Veja o que está acontecendo com seus serviços hoje
Notificações Ver todos
Nenhuma notificação no momento
Notificações Ver todos
Nenhuma notificação no momento
Contratar Serviço
Como gerar CSR no Linux/Apache com OpenSSL (RSA e ECC, com SAN)

Objetivo

Gerar chave privada e CSR via OpenSSL para uso em Apache. Mostramos RSA 2048 (mais comum) e ECC (P-256), além de SAN.

Estrutura de diretórios sugerida

/etc/ssl/exemplo/
  ├─ private/        (permissão 600)
  ├─ csr/
  └─ certs/

RSA 2048 + CSR simples

# Gera chave privada (sem senha) e CSR
openssl req -new -newkey rsa:2048 -nodes 
  -keyout /etc/ssl/exemplo/private/exemplo.com.br.key 
  -out    /etc/ssl/exemplo/csr/exemplo.com.br.csr 
  -subj "/C=BR/ST=MG/L=Belo Horizonte/O=Exemplo Tecnologia LTDA/OU=TI/CN=exemplo.com.br/emailAddress=admin@exemplo.com.br"

Com SAN (www + raiz)

Crie um arquivo de configuração local:

/etc/ssl/exemplo/openssl-san.cnf
--------------------------------
[ req ]
default_bits       = 2048
prompt             = no
default_md         = sha256
req_extensions     = req_ext
distinguished_name = dn

[ dn ]
C  = BR
ST = MG
L  = Belo Horizonte
O  = Exemplo Tecnologia LTDA
OU = TI
CN = exemplo.com.br
emailAddress = admin@exemplo.com.br

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = exemplo.com.br
DNS.2 = www.exemplo.com.br

Gerando a chave e o CSR com SAN:

openssl req -new -newkey rsa:2048 -nodes 
  -keyout /etc/ssl/exemplo/private/exemplo.com.br.key 
  -out    /etc/ssl/exemplo/csr/exemplo.com.br.csr 
  -config /etc/ssl/exemplo/openssl-san.cnf

ECC (prime256v1)

# Gera chave ECC e CSR (com SAN do mesmo arquivo .cnf acima)
openssl ecparam -name prime256v1 -genkey 
  -out /etc/ssl/exemplo/private/exemplo.com.br.ec.key

openssl req -new -key /etc/ssl/exemplo/private/exemplo.com.br.ec.key 
  -out /etc/ssl/exemplo/csr/exemplo.com.br.ec.csr 
  -config /etc/ssl/exemplo/openssl-san.cnf

Verificar o CSR

openssl req -in /etc/ssl/exemplo/csr/exemplo.com.br.csr -noout -text

Boas práticas

  • Permissões: chmod 600 na chave privada, dono root:root.
  • Backup seguro da chave privada (sem expor por e-mail).
Esta resposta foi útil?
Sua avaliação ajuda a manter a base de conhecimento melhor para todos.
Artigos Relacionados
Sugestões para você continuar lendo.
Carregando...