Gerenciando chaves e certificados

A criptografia do Qlik NPrinting requer um arquivo de certificado X.509 em formato PEM. Você pode gerar um certificado autoassinado ou obter um assinado de uma autoridade de certificação (CA). Um único certificado cobre o NewsStand e o Qlik NPrinting web console, pois têm o mesmo nome de domínio.

Gerando um certificado autoassinado

Um certificado autoassinado é um certificado de identidade que é assinado pela entidade que possui o certificado. Essa entidade usa sua própria chave privada para certificar sua identidade. Usar um certificado autoassinado permite que você assine seu certificado sozinho.

Você pode usar um certificado autoassinado se:

  • Pretende usar HTTPS (HTTP sobre TLS) para proteger seus servidores da Web.
  • Você não precisar que seus certificados sejam assinados por uma autoridade de certificação (CA).

Por exemplo, você poderá usar um certificado autoassinado se os seus servidores Web forem usados apenas dentro de sua rede local.

Faça o seguinte:

  1. Abra um prompt de linha de comando do Windows.
  2. Entre na pasta do binário do OpenSSL. O comando padrão é cd C:\OpenSSL-Win64\bin. Os arquivos serão criados nessa pasta e depois você os moverá para a pasta final.
  3. Para criar o certificado autoassinado, execute o seguinte comando:
    openssl req -newkey rsa:4096 -nodes -keyout NPrinting.key -x509 -days 365 -out NPrinting.crt

    Em que:

    • req é o utilitário para solicitação e geração do certificado PKCS#10.
    • A opção -x509 instrui o req a criar um certificado autoassinado.
    • A opção -days 365 especifica que o certificado será válido por 365 dias.

    Para ignorar as perguntas interativas, use -subj seguido pelas informações do seu domínio entre aspas.

    Por exemplo:

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Aviso: A chave privada não deve ser revelada a ninguém, nem enviada para a autoridade de certificação. Faça backup dela e a armazene em um local seguro.

Você só pode distribuir o arquivo da chave pública.

Comprando um certificado de uma autoridade de certificação

Seus certificados devem ser assinados por uma autoridade de certificação (CA) se você precisar evitar avisos de segurança caso seu servidor da Web seja acessível publicamente por meio de navegadores da Web. Existem várias autoridades de certificação. A CA que você escolher terá suas próprias instruções específicas a serem seguidas. Algumas etapas para gerar e implementar certificados assinados pela CA são comuns a todas as autoridades de certificação. As seções a seguir descrevem essas etapas comuns.

Gerando uma solicitação de assinatura de certificado

Para obter um certificado assinado por uma AC, você deve gerar uma solicitação de assinatura de certificado (CSR). Uma CSR contém sua chave pública e outras informações adicionais. Essas informações serão incluídas no certificado assinado. Uma CSR nunca contém a chave privada.

Faça o seguinte:

  1. Para gerar a CSR e a chave privada, execute o seguinte comando:

    openssl req -new -newkey rsa:4096 -nodes -keyout NPrinting.key -out NPrinting.csr

  2. Você será solicitado a responder às perguntas interativas.
    Para ignorar as perguntas interativas, use -subj seguido pelas informações do seu domínio entre aspas.

    Por exemplo:

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Para qualquer procedimento personalizado necessário para criar o CSR, consulte as instruções da autoridade de certificação .

Campo Nome comum

O nome no campo Nome comum (CN) deve ser o nome de domínio totalmente qualificado (FQDN) do host que usará o certificado.

Por exemplo:

  • Se a URL de seu NewsStand for https://yourcompany.com:4994, o FQND será yourcompany.com (a porta não faz parte do FQDN).
  • A URL https://www.yourcompany.com:4994 é considerada diferente de https://yourcompany.com:4994. Se quiser que ambos os endereços de URL sejam nomes de host válidos, você deverá gerar dois certificados, um contendo o FQDN www.yourcompany.com e o outro contendo o FQDN yourcompany.com.

Mesclando certificados assinados com certificados de servidor

Ao usar um certificado assinado por uma autoridade de certificação (CA), você deve criar um arquivo PEM de pacote de certificados contendo o certificado do servidor, quaisquer intermediários e o certificado assinado pela CA. Depois de criar o pacote de certificados, use-o junto com sua chave privada para configurar o proxy. Arquivos contendo um certificado e uma chave privada correspondente para o servidor devem ser fornecidos.

Faça o seguinte:

  1. Você pode criar um arquivo de pacote de certificados concatenando o certificado assinado por CA para seu domínio, o certificado do servidor e quaisquer intermediários. Todos os certificados, incluindo o certificado raiz, devem ser concatenados.
  2. Certifique-se de aplicar a seguinte ordem para a concatenação:

    • Certificado de domínio
    • Certificados intermediários (um ou vários)
    • Certificado raiz

    Por exemplo:

    more < NPrinting.crt >> NPrinting.public.crt
    more < RSADomainValidationSecureServerCA.crt >> NPrinting.public.crt
    more < RSAAddTrustCA.crt >> NPrinting.public.crt
    more < AddTrustExternalCARoot.crt >> NPrinting.public.crt

    Em que:

    • NPrinting.crt é o certificado de domínio.
    • NPrinting.public.crt é o pacote de certificados que será usado para configurar o proxy.
    • RSADomainValidationSecureServerCA.crt e RSAAddTrustCA.crt são certificados intermediários.
    • AddTrustExternalCARoot.crt é o certificado raiz.
  3. Use NPrinting.public.crt como um arquivo de certificado e a chave privada para configurar o proxy.