Como gerar um request (CSR) para certificado com algoritmo SHA2 (ou SHA256) para Lync Edge Server


Introdução:

Atualmente as principais entidades certificadoras públicas estão começando a solicitar certificados com Algoritmo de Assinatura (Signature algorithm) SHA-2, conforme abaixo:

Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
    Algorithm Parameters:
    05 00

Hoje em dia, os assistentes de criação de request do Exchange, IIS, Certificate Authoriry (via console ou mesmo, via WebSite) ainda não fazem requests com SHA-2, apenas com SHA-1.

Para gerar os request com SHA-2 não é possível utilizar o Wizard o Lync Server e sim, é necessário utilizar uma ferramenta adicional, no meu caso escolhi utilizar OpenSSL que está disponível para download em: http://slproweb.com/products/Win32OpenSSL.html (Escolha a versão 64 bits).

Passo a passo:

1) Em qualquer servidor (preferencialmente em algum servidor Edge), baixe a ferramenta OpenSSL e instale. O caminho default é c:\OpenSSL-Win64\bin\

2) Para o certificado interno do Edge – Crie um arquivo na pasta onde o OpenSSL foi instalado com o nome LyncInternalConfig.cnf com o seguinte conteúdo:

[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[ req_distinguished_name ]
C = BR
ST = RS
L = Porto Alegre
O = Hunecke Company
OU = TI
CN = rtcedge.hunecke.net
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = critical, CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectKeyIdentifier=hash
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = rtcedge.hunecke.net
DNS.2 = edge01.hunecke.net
DNS.3 = edge02.hunecke.net

3) Para o certificado externo do Edge – Crie um arquivo na pasta onde o OpenSSL foi instalado com o nome LyncExternalConfig.cnf com o seguinte conteúdo:

[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[ req_distinguished_name ]
C = BR
ST = RS
L = Porto Alegre
O = Hunecke Company
OU = TI
CN = sip.hunecke.com.br
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = critical, CA:FALSE
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectKeyIdentifier=hash
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = sip.hunecke.com.br
DNS.2 = webcon.hunecke.com.br
DNS.3 = webext.hunecke.com.br
DNS.4 = webdirext.hunecke.com.br
DNS.5 = meet.hunecke.com.br
DNS.6 = dialin.hunecke.com.br
DNS.7 = officewebapps01.hunecke.com.br
DNS.8 = lyncdiscover.hunecke.com.br

4) Para o certificado interno do Edge – Rode o seguinte comando no Command Prompt:

cd c:\OpenSSL-Win64\bin

openssl req -nodes -sha256 -newkey rsa:2048 -keyout C:\OpenSSL-Win64\PrivateKey.key -out C:\OpenSSL-win64\bin\ LyncInternalConfig.req -config C:\OpenSSL-Win64\bin\LyncInternalConfig.cnf

5) Para o certificado externo do Edge – Rode o seguinte comando no Command Prompt:

cd c:\OpenSSL-Win64\bin

openssl req -nodes -sha256 -newkey rsa:2048 -keyout C:\OpenSSL-Win64\PrivateKey.key -out C:\OpenSSL-win64\bin\ LyncExternalConfig.req -config C:\OpenSSL-Win64\bin\LyncExternalConfig.cnf

6) Os requests foram gerados na pasta C:\OpenSSL-win64\bin\ com os nomes: LyncInternalConfig.cer e LyncExternalConfig.cer. Encaminhe para a entidade certificadora pública.

Em breve, mais detalhes sobre o request SHA-2.

Comments (0)

Skip to main content