Chave privada

Todos Assinatura de código Atualizações Autoridades de certificação Chave privada Código CSR Configuração CPAC Curinga Decodificador CSR DigiCert Endereço IP Gerador de CSR Geral Instalação Mudanças Múltiplos domínios Renovação S/MIME Tipos Tutoriais de geração de CSR Validação de domínio Validação de negócios Validação estendida
Onde posso encontrar minha chave privada?

Essa é uma das perguntas mais frequentes que recebemos. Infelizmente, não podemos lhe enviar a chave privada, pois ela é privada e não a armazenamos em nenhum lugar de nosso sistema ou banco de dados. A chave privada é sempre confidencial, e somente você deve tê-la. Se tivéssemos ou armazenássemos sua chave privada, isso comprometeria a “segurança” do seu certificado SSL.

Se você usou o Gerador de CSR em nosso site para gerar seu código CSR, então o CSR e a Chave Privada foram mostrados a você durante o processo de geração de CSR. Eles também foram enviados para seu endereço de e-mail, caso você tenha incluído seu endereço de e-mail no Gerador de CSR. A mensagem que foi enviada para seu endereço de e-mail veio de [email protected] e tem o seguinte assunto: “Seu código CSR e sua chave privada”.

Se você gerou o CSR no servidor, o código CSR e a chave privada foram fornecidos pelo servidor. Você tinha que copiá-los e armazená-los em um local seguro. Em alguns casos, alguns servidores podem mostrar o código CSR e a chave privada e, ao mesmo tempo, armazenar esses dois códigos para você no servidor. Em outros casos, o servidor fornece apenas o código CSR e mantém a chave privada oculta no servidor.

reemissão de certificadoDito isso, procure a chave privada em seu endereço de e-mail ou em seu servidor. Se não conseguir encontrá-lo, será necessário gerar um novo código CSR em seu servidor ou no Gerador de CSR em nosso site. O código CSR virá com uma chave privada.

Depois que um novo código CSR (e uma chave privada) for gerado, você precisará acessar a página de detalhes do certificado SSL na sua conta do SSL Dragon e clicar no botão “Reissue certificate” (Reemitir certificado) na barra lateral esquerda da página. Você terá que passar pela validação do domínio novamente e, depois disso, o certificado SSL será reemitido para você com base no novo código CSR que você inseriu. Além disso, o certificado SSL reemitido será emparelhado com a chave privada que veio junto com o novo código CSR.

Se você não conseguir encontrar o Botão “Reissue certificate” (Reemitir certificado) na página de detalhes do certificado SSL em sua conta do SSL Dragon e, em seguida, envie-nos o novo código CSR por meio de um tíquete de suporte em sua conta do SSL Dragon ou diretamente em [email protected] e nós geraremos novamente o certificado SSL para você, usando o novo código CSR. Não nos envie sua chave privada, pois ela é confidencial. Guarde-o em um local seguro em seu e-mail ou computador, pois você precisará dele ao instalar seu certificado SSL.

Copiar link

Como verificar a integridade do par de chaves privadas?

Você pode verificar a integridade de um certificado SSL e de um par de chaves privadas com o utilitário
utilitário OpenSSL
 e suas linhas de comando.

O processo consiste em quatro etapas:

  1. Verifique se a chave privada não foi alterada.
  2. Verificar a correspondência do valor do módulo com a chave privada e o par de certificados SSL
  3. Executar com êxito a criptografia com a chave pública do certificado e a descriptografia com a chave privada
  4. Confirmar a integridade do arquivo, que é assinado com a chave privada

Verificar a integridade da chave privada

Execute o seguinte comando: openssl rsa -in [key-file .key] -check -noout

Aqui está um exemplo de uma chave privada corrompida:

erro de chave privada

Outros erros resultantes de uma chave alterada/forjada estão listados abaixo:

  • Erro na chave RSA: p não é primo
  • Erro na chave RSA: n não é igual a p q
  • Erro na chave RSA: d e não é congruente com 1
  • Erro de chave RSA: dmp1 não é congruente com d
  • Erro na chave RSA: iqmp não é o inverso de q

Se você encontrou algum dos erros acima, sua chave privada foi adulterada e pode não funcionar com sua chave pública. Considere a possibilidade de criar uma nova chave privada e solicitar um certificado de substituição.

Aqui está um exemplo de chave privada que atende à integridade:

chave rsa ok

Verificar a correspondência do valor do módulo com a chave privada e o par de certificados SSL


Observação:

O módulo da chave privada e do certificado deve corresponder exatamente.

Para visualizar o Modulus do certificado, execute o comando:

openssl x509 -noout -modulus -in [certificate-file .cer]

Para exibir a chave privada Modulus, execute o comando:

openssl rsa -noout -modulus -in [key-file .key]

Criptografar com a chave pública de e descriptografar com a chave privada

1. Obtenha a chave pública do certificado:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Criptografar o conteúdo do arquivo test.txt usando a chave pública

Crie um novo arquivo chamado test.txt (você pode usar o Bloco de Notas) com o conteúdo “message test”. Execute o seguinte comando para criar uma mensagem criptografada no arquivo cipher.txt.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3. Descriptografar de cipher.txt usando a chave privada
Execute o seguinte comando para descriptografar o conteúdo de cipher.txt.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Certifique-se de poder descriptografar o conteúdo do arquivo cipher.txt no terminal. A saída do terminal deve corresponder ao conteúdo do arquivo test.txt.

Se o conteúdo não corresponder, a chave privada foi adulterada e pode não funcionar com sua chave pública. Considere a possibilidade de criar uma nova chave privada e solicitar um certificado de substituição. Aqui está um exemplo de uma mensagem descriptografada:

teste de mensagem

4. Confirme a integridade do arquivo assinado com a chave privada

Execute o seguinte comando para assinar os arquivos test.sig e test.txt com sua chave privada:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Agora, verifique os arquivos assinados com sua chave pública extraída da etapa 1.

openssl dgst -sha256 -verify certificatefile.pub.cer -signature test.sig test.txt

Certifique-se de que a saída do terminal seja exatamente como no exemplo abaixo:

verificado ok
Se sua chave privada for adulterada, você receberá a seguinte mensagem:

falha na verificação
Nesse caso, você deve criar uma nova chave privada e solicitar um certificado de substituição.

Fonte: Base de Conhecimento da Digicert

Copiar link

Por que recebo um erro de incompatibilidade de certificado ou chave privada?

Às vezes, o certificado SSL que foi emitido para você não corresponde à chave privada que você está tentando usar ao instalar esse certificado SSL no seu servidor. Esse é um erro comum gerado pelo usuário.

Se o sistema disser que há uma incompatibilidade, você precisará verificar novamente o CSR e a chave privada que você gerou e que vieram juntos. Você precisa se certificar de que usou esse CSR específico ao configurar seu certificado SSL. Quando o certificado SSL é emitido, você precisa usar a chave privada que corresponde a esse CSR específico.

Vemos clientes cometendo o erro de gerar um CSR e uma chave privada e, em seguida, configurar o certificado SSL com um CSR diferente que é gerado pelo servidor. Nesse caso, o servidor gerou pares de CSR com sua própria chave privada, que você provavelmente não tem.

A chave privada que você tem funciona somente com o CSR que a acompanha. Além disso, a chave privada que você tem funciona somente com o certificado SSL que foi configurado usando o CSR que faz par com essa chave privada.

Solução

Para resolver isso, você precisa reconfigurar (reemitir) o seu certificado SSL usando um código CSR para o qual você tem a chave privada com a qual ele está emparelhado. Talvez você queira usar um código CSR fornecido pelo servidor ou gerar um novo CSR e uma chave privada.

Copiar link

Como encontrar a chave privada do meu certificado de assinatura de código?

A partir de 1º de junho de 2023, os padrões do setor exigem o armazenamento de chaves privadas de certificados de assinatura de código em hardware com certificação FIPS 140 Nível 2, Common Criteria EAL 4+. Essa alteração aumenta a segurança, alinhando-se aos padrões de assinatura de código EV. As autoridades de certificação não podem mais oferecer suporte à geração de chaves baseada em navegador ou a instalações em laptops/servidores. As chaves privadas devem estar em tokens/HSMs com certificação FIPS 140-2 Nível 2 ou Common Criteria EAL 4+. Para assinar o código, acesse o token/HSM e use as credenciais de certificado armazenadas.

De acordo com as novas diretrizes, sua chave privada deve estar no token enviado pela CA ou em seu módulo de segurança de hardware.

Copiar link