Gerenciando chaves e certificados
A criptografia do Qlik NPrinting requer um arquivo de certificado X.509 em formato PEM. Você pode gerar um certificado autoassinado ou obter um assinado de uma autoridade de certificação (CA). Um único certificado cobre o NewsStand e o Qlik NPrinting web console, pois têm o mesmo nome de domínio.
Limitações
-
Os certificados gerados usando algoritmos compatíveis com CNG não são compatíveis com o On-Demand Add-on.
Gerando um par de chaves RSA público e privado no formato PEM
Faça o seguinte:
-
Abra um prompt da linha de comando do Windows.
-
Entre na pasta do binário do OpenSSL. O comando padrão é: cd C:\OpenSSL-Win64\bin
Você pode personalizar a pasta, se necessário. Os arquivos serão criados nessa pasta e depois você os moverá para a pasta final.
-
Execute o comando: openssl genrsa -out NPrinting.key 4096.
genrsa é a opção de gerar uma chave privada RSA. 4096 é o tamanho da chave privada gerada em bits.
-
Se você deseja exportar apenas o certificado público em formato PEM, execute o comando:. openssl rsa -in NPrinting.key -outform PEM -pubout -out NPrintingPublic.pem.
pubout é a opção do OpenSSL para extrair a chave pública de uma chave privada RSA.
Nota de advertênciaA chave do certificado não deve ser protegida por senha.Nota de advertênciaA chave privada não deve ser revelada a ninguém, nem enviada para a autoridade de certificação. Faça backup dela e a armazene em um local seguro. Você pode distribuir o arquivo da chave pública, se necessário. -
Antes de compartilhar o arquivo de chave pública, sugerimos examiná-lo visualmente para ter certeza de que está enviando o arquivo correto:
-
Abra o arquivo NPrinting.key em um editor de texto. NPrinting.key é sua chave privada, e começa com: -----BEGIN RSA PRIVATE KEY-----. Mantenha-a em segredo.
-
Abra o arquivo NPrintingPublic.pem em um editor de texto. NPrintingPublic.pem é sua chave pública e começa com: -----BEGIN PUBLIC KEY-----. Você pode compartilhar esse arquivo.
-
Segurança da chave privada
O Qlik NPrinting opera 24 horas por dia, 7 dias por semana. Isso significa que a chave privada deve ser armazenada no sistema de arquivos em formato não criptografado. Proteger a chave privada com uma senha não é viável, pois um administrador deve inserir a senha toda vez que o serviço é reiniciado. Você pode proteger o arquivo da chave privada concedendo direitos de acesso a ele apenas aos administradores. O arquivo da chave privada é usado apenas para o TLS e nunca sai do servidor.
Gerando um certificado autoassinado
Um certificado autoassinado é um certificado de identidade que é assinado pela entidade que possui o certificado. Essa entidade usa sua própria chave privada para certificar sua identidade. Usar um certificado autoassinado permite que você assine seu certificado sozinho.
Você pode usar um certificado autoassinado se:
- Pretende usar HTTPS (HTTP sobre TLS) para proteger seus servidores da Web.
- Você não precisar que seus certificados sejam assinados por uma autoridade de certificação (CA).
Por exemplo, você poderá usar um certificado autoassinado se os seus servidores Web forem usados apenas dentro de sua rede local.
Faça o seguinte:
- Abra um prompt de linha de comando do Windows.
- Entre na pasta do binário do OpenSSL. O comando padrão é cd C:\OpenSSL-Win64\bin. Os arquivos serão criados nessa pasta e depois você os moverá para a pasta final.
- Para criar o certificado autoassinado, execute o seguinte comando:
openssl req -newkey rsa:4096 -nodes -keyout NPrinting.key -x509 -days 365 -out NPrinting.crtEm que:
- req é o utilitário para solicitação e geração do certificado PKCS#10.
- A opção -x509 instrui o req a criar um certificado autoassinado.
- A opção -days 365 especifica que o certificado será válido por 365 dias.
Para ignorar as perguntas interativas, use o -subj seguido pelas informações do seu domínio entre aspas.
Por exemplo:
-subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".
Você só pode distribuir o arquivo da chave pública.
Comprando um certificado de uma autoridade de certificação
Seus certificados devem ser assinados por uma autoridade de certificação (CA) se você precisar evitar avisos de segurança caso seu servidor da Web seja acessível publicamente por meio de navegadores da Web. Existem várias autoridades de certificação. A CA que você escolher terá suas próprias instruções específicas a serem seguidas. Algumas etapas para gerar e implementar certificados assinados pela CA são comuns a todas as autoridades de certificação. As seções a seguir descrevem essas etapas comuns.
Gerando uma solicitação de assinatura de certificado
Para obter um certificado assinado por uma AC, você deve gerar uma solicitação de assinatura de certificado (CSR). Uma CSR contém sua chave pública e outras informações adicionais. Essas informações serão incluídas no certificado assinado. Uma CSR nunca contém a chave privada.
Faça o seguinte:
-
Para gerar a CSR e a chave privada, execute o seguinte comando:
openssl req -new -newkey rsa:4096 -nodes -keyout NPrinting.key -out NPrinting.csr
-
Você será solicitado a responder às perguntas interativas.
Para ignorar as perguntas interativas, use o -subj seguido pelas informações do seu domínio entre aspas.Por exemplo:
-subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".
Para qualquer procedimento personalizado necessário para criar o CSR, consulte as instruções da autoridade de certificação .
Campo Nome comum
O nome no campo Nome comum (CN) deve ser o nome de domínio totalmente qualificado (FQDN) do host que usará o certificado.
Por exemplo:
- Se a URL de seu NewsStand for https://yourcompany.com:4994, o FQND será yourcompany.com (a porta não faz parte do FQDN).
- A URL https://www.yourcompany.com:4994 é considerada diferente de https://yourcompany.com:4994. Se quiser que ambos os endereços de URL sejam nomes de host válidos, você deverá gerar dois certificados, um contendo o FQDN www.yourcompany.com e o outro contendo o FQDN yourcompany.com.
Mesclando certificados assinados com certificados de servidor
Ao usar um certificado assinado por uma autoridade de certificação (CA), você deve criar um arquivo PEM de pacote de certificados contendo:
-
o certificado do servidor
-
quaisquer intermediários
-
o certificado assinado pela CA.
Certifique-se de aplicar a seguinte ordem para a concatenação:
- Certificado de domínio
- Certificados intermediários (um ou vários)
- Certificado raiz
Depois de criar o pacote de certificados, use-o junto com sua chave privada para configurar o proxy. Arquivos contendo um certificado e uma chave privada correspondente para o servidor devem ser fornecidos.
Faça o seguinte:
Neste exemplo, o certificado do seu domínio é NPrinting.crt.
-
Abra uma linha de comando do Windows e digite o seguinte:
- NPrinting.crt é o certificado de domínio.
- NPrinting.public.pem é o pacote de certificados que será usado para configurar o proxy.
- RSADomainValidationSecureServerCA.crt e RSAAddTrustCA.crt são certificados intermediários.
- AddTrustExternalCARoot.crt é o certificado raiz.
-
Use NPrinting.public.pem como um arquivo de certificado e a chave privada para configurar o proxy.
more NPrinting.crt >> NPrinting.public.pem
more RSADomainValidationSecureServerCA.crt >> NPrinting.public.pem
more RSAAddTrustCA.crt >> NPrinting.public.pem
more AddTrustExternalCARoot.crt >> NPrinting.public.pem
Em que: