LIPCA

Autoridade de Certificação
LIP
LIP Autoridade de Certificação
Av. Elias Garcia 14, 1º
1000-149 Lisboa, Portugal
Tel.: (+ 351) 21 797 3880
Fax: (+ 351) 21 793 4631
  • Politica
  • Validade e Responsabilidade
  • Certificado CA ROOT
  • Descarregar CRL
  • Obter um Certificado
  • Certificados e Globus
  • Web Browsers
  • Outras Informações
  • Formulários
  • English Version  english
  • Página Inicial

 
 

  • Solicitar Certificado
  • Autoridades de Registo

 

  • Utilizadores GRID

Browser recomendado Firefox

Chrome/Chromium não suportado

Assinar E-mail usando OpenSSL
Cifrar E-mail usando OpenSSL
Decifrar um E-mail usando OpenSSL
Verificar um E-mail assinado usando OpenSSL
Obter o valor hash de um certificado
Obter a impressão digital de um certificado
Converter um certificado para pkcs12
Converter um certificado para pem
Converter um certificado p12 de/para jks
Verificar um certificado
Verificar uma CRL
Mostrar o conteúdo de um certificado
Mostrar o conteúdo de uma CRL
Mostrar emissor e destinatário de um certificado
Mudar a password de uma chave privada
Vídeos de Demonstração

Esta sessão tem exemplos e informação sobre uso dos certificados.

Os exemplos de mensagens de correio electrónico assinadas e cifrados podem ser úteis para transferência segura da informação entre o RA/CA e o requerente ou o subscritor. Os caminhos são baseados na distribuição de EDG do Globus toolkit.

Assinar E-mail usando OpenSSL

Este exemplo mostra como assinar uma mensagem do correio electrónico contida no ficheiro your-mail-message.txt. Para esse propósito use o comando abaixo que terá como saída uma mensagem assinada no ficheiro signed-mail-message.txt.

openssl smime -sign -text -in your-mail-message.txt \
     -out signed-mail-message.txt \
     -signer ${HOME}/.globus/usercert.pem \
     -inkey ${HOME}/.globus//userkey.pem

Cifrar E-mail usando OpenSSL

Este exemplo mostra como cifrar uma mensagem de correio electrónico assinada contida no ficheiro signed-mail-message.txt. Para esse propósito utilize o comando abaixo que produz como saída uma mensagem cifrada no ficheiro encrypted-mail-message.txt.O comando tem como último parâmetro o nome de um ficheiro (destination-user-certificate.pem) que contem o certificado do utilizador de destino, consequentemente o correio pode somente ser decifrado pelas pessoas que têm o acesso à chave confidencial correspondente do certificado. Para fazer isto você necessita obter o certificado do utilizador de destino.

openssl smime -encrypt -in signed-mail-message.txt \
     -out encrypted-mail-message.txt \
     destination-user-certificate.pem

Decifrar um E-mail usando OpenSSL

Este exemplo mostra como decifrar uma mensagem de correio electrónico assinada.

openssl smime -decrypt -in received-encrypted-mail-message.txt \
     -out received-mail-message.txt \
     -recip ${HOME}/.globus/usercert.pem \
     -inkey ${HOME}/.globus/userkey.pem

Verificar um E-mail assinado usando OpenSSL

Este exemplo mostra como verificar uma mensagem de correio electrónico assinada, para verificar se não foi alterada. O ultimo argumento é o caminho para a directoria que contem o seu certificado autorizado da autoridade da certificação. Na distribuição Globus EDG os certificados das CA autorizadas são guardados em /estc/grid-security/certificates.

openssl smime -verify -text -in received-signed-mail-message.txt \
     -CApath /etc/grid-security/certificates

O exemplo seguinte mostra o distinguish name (DN) do signatário

openssl smime -pk7out -in received-signed-mail-message.txt | \
     openssl pkcs7 -print_certs -noout

Os exemplos acima são baseados em exemplos para comunicações seguras entre CA e RA em Nikhef

Obter o valor hash de um certificado

Este exemplo mostra como obter o hash de um certificado.

openssl x509 -noout -hash -in certificate.pem

Obter a impressão digital de um certificado

Este exemplo mostra como obter a impressão digital de um certificado MD5.

openssl x509 -noout -fingerprint -in certificate.pem

Converter um certificado para pkcs12

Este exemplo mostra como converter um certificado para o formato pkcs12 usado por web browsers como o Netscape e o Internet Explorer. O formato pkcs12 guarda a chave publica e a privada no mesmo ficheiro. Será lhe pedido para introduzir a password para ler a chave existente e depois para colocar a password para proteger o novo ficheiro pkcs12. O ficheiro de saída usercert.p12 pode ser carregado para o browser usando os painéis de gestão de certificados dos browsers.

openssl pkcs12 -export -in usercert.pem -inkey userkey.pem \
     -out usercert.p12

Converter um certificado para pem

Este exemplo mostra como converter um certificado para o formato pem.

openssl pkcs12 -nocerts -in usercert.p12 -out ~user/.globus/userkey.pem
IMPORTANTE: Definir as permissões correctas para a private key (#chmod 400 ~user/.globus/userkey.pem)

openssl pkcs12 -clcerts -nokeys -in usercert.p12 -out ~user/.globus/usercert.pem

Este exemplo mostra como converter um certificado para o formato pem, sem password (Usado nos servidores).

openssl pkcs12 -nocerts -nodes -in usercert.p12 -out ~user/.globus/userkey.pem

openssl pkcs12 -clcerts -nokeys -in usercert.p12 -out ~user/.globus/usercert.pem

Converter um certificado p12 de/para jks

JKS to P12
keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS -deststoretype PKCS12 -destkeystore keystore.p12

P12 to JKS
keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks

Verificar um certificado

Este exemplo mostra como verificar a autenticidade de um certificado. Pode dar o caminho para a directoria que contem todos os certificados CA ROOT autenticados, ou especificar directamente o certificado CA ROOT com o qual a verificação deve ser realizada.

openssl verify -CApath /etc/grid-security/certificates usercert.pem

openssl verify -CAfile /etc/grid-security/certificates/11b4a5a2.0 usercert.pem

Verificar uma CRL

Este exemplo mostra como verificar a autenticidade de um CRL. Pode dar o caminho para a directoria que contem todos os certificados CA ROOT autenticados, ou especificar directamente o certificado CA ROOT com o qual a verificação deve ser realizada.

openssl crl -noout -CApath /etc/grid-security/certificates -in usercert.pem

openssl crl -noout -CAfile /etc/grid-security/certificates/11b4a5a2.0 -in usercert.pem

Mostrar o conteúdo de um certificado

Este exemplo mostra como visualizar em formato texto o conteúdo de um certificado.

openssl x509 -text -noout -in usercert.pem

Mostrar o conteúdo de uma CRL

Este exemplo mostra como visualizar em formato texto o conteúdo de um CRL.

openssl crl -text -noout -in /etc/grid-security/certificates/11b4a5a2.r0

Mostrar emissor e destinatário de um certificado

Este exemplo mostra como visualizar em formato texto o emissor e destinatário DN.

openssl x509 -issuer -noout -in usercert.pem

openssl x509 -subject -noout -in usercert.pem

Mudar a password de uma chave privada

Este exemplo mostra como mudar a password de uma chave privada de um certificado. Depois da password alterada com sucesso o novo ficheiro criado contendo a chave privada protegida pela nova password deverá ser movido para o antigo ficheiro userkey. Em qualquer caso o antigo ficheiro contendo a chave privada deverá ser removido. Se a antiga chave privada foi guardada numa disquete esta deverá ser destruída.

cd ${HOME}/.globus
openssl rsa -in userkey.pem -des3 -out new-userkey.pem
mv new-userkey.pem userkey.pem

 

Copyright (c) 2007 LIP. Todos os direitos reservados.