30.10.2024

1 +1

Segurança

O Que É um CSR e Como Criar Um? Um Guia Completo Passo a Passo

Proteger o seu website com HTTPS já não é opcional — é um requisito fundamental para a confiança dos utilizadores, proteção de dados e classificações nos motores de busca. No centro de cada emissão de certificado SSL/TLS encontra-se um componente crítico, mas frequentemente incompreendido: o Certificate Signing Request (CSR). Seja você um programador, administrador de sistemas ou proprietário de um website, compreender como gerar e submeter corretamente um CSR pode poupar-lhe horas de resolução de problemas e garantir que o seu site está devidamente protegido.

Neste guia abrangente, explicaremos exatamente o que é um CSR, por que razão é importante, e orientá-lo-emos através de vários métodos para criar um — incluindo OpenSSL, cPanel e IIS.

O Que É um CSR (Certificate Signing Request)?

Um Certificate Signing Request (CSR) é um bloco de texto codificado em Base64 que gera no seu servidor e submete a uma Autoridade de Certificação (CA) — como Let’s Encrypt, DigiCert ou Sectigo — ao solicitar um certificado SSL. A CA lê as informações incorporadas no CSR e utiliza-as para emitir um certificado assinado digitalmente que permite HTTPS no seu domínio.

Pense num CSR como um formulário de candidatura formal: informa a CA sobre quem é, qual o domínio que pretende proteger, e fornece a chave pública criptográfica que será incorporada no certificado final.

Que Informações Contém um CSR?

Um CSR padrão inclui os seguintes campos:

Campo	Descrição	Exemplo
Common Name (CN)	Fully Qualified Domain Name (FQDN) a proteger	`www.example.com`
Organization Name (O)	Nome legal da empresa ou indivíduo	`Example Corp Ltd`
Organizational Unit (OU)	Departamento ou divisão (opcional)	`IT Department`
Locality (L)	Cidade onde a organização está localizada	`New York`
State/Province (ST)	Nome completo do estado ou província	`New York`
Country (C)	Código de país ISO de duas letras	`US`
Email Address	Email de contacto (opcional)	`admin@example.com`
Public Key	Chave criptográfica utilizada para encriptação	RSA 2048-bit ou superior

> Importante: Um CSR não contém a sua chave privada. A chave privada é gerada juntamente com o CSR, mas deve permanecer sempre armazenada de forma segura no seu servidor e nunca partilhada com ninguém — incluindo a CA.

Por Que Razão é Importante um CSR?

Compreender o papel de um CSR ajuda a clarificar por que razão cada emissão de certificado SSL começa com este passo.

1. Inicia o Pedido de Certificado SSL

Sem um CSR, uma CA não tem forma de saber qual o domínio que pretende proteger, quem é o seu proprietário, ou qual a chave pública a incorporar no certificado. O CSR é o mecanismo formal que inicia todo o fluxo de trabalho de emissão de certificados.

2. Estabelece a Base Criptográfica

O CSR contém a sua chave pública, que está matematicamente emparelhada com a sua chave privada. Em conjunto, estas chaves formam a base de encriptação assimétrica do SSL/TLS. Quando um browser se liga ao seu servidor, utiliza a chave pública (do certificado) para encriptar dados, e o seu servidor utiliza a chave privada para os desencriptar — garantindo que nenhum terceiro pode intercetar a comunicação.

3. Permite a Validação de Identidade

Dependendo do tipo de certificado SSL que está a solicitar, a CA realizará diferentes níveis de verificação de identidade utilizando as informações no seu CSR:

Domain Validation (DV): A CA verifica apenas que controla o domínio. Rápido e automatizado.
Organization Validation (OV): A CA verifica a existência legal da sua organização, além do controlo do domínio.
Extended Validation (EV): A verificação mais rigorosa — a CA verifica a identidade legal, endereço físico e estado operacional.

Se gere um website empresarial ou plataforma de comércio eletrónico, escolher o nível de validação correto é importante. Pode explorar a gama de Certificados SSL da AlexHost para encontrar a opção que melhor se adequa aos seus requisitos de segurança.

Como Criar um CSR: Instruções Passo a Passo

Criar um CSR envolve dois passos principais: gerar uma chave privada e depois utilizar essa chave para produzir o ficheiro CSR. Abaixo, cobrimos os métodos mais comuns.

Método 1: Utilizar OpenSSL (Linux, macOS, Windows)

OpenSSL é a ferramenta mais amplamente utilizada e universalmente disponível para gerar CSRs. Funciona em servidores Linux, macOS e Windows (com OpenSSL instalado).

#### Passo 1: Gerar uma Chave Privada

Abra o seu terminal (ou linha de comandos no Windows) e execute o seguinte comando:

openssl genrsa -out private.key 2048

O que isto faz:

genrsa — gera uma chave privada RSA
-out private.key — guarda a chave num ficheiro com o nome private.key

2048 — especifica o comprimento da chave em bits (2048-bit é o mínimo recomendado; utilize 4096 para maior segurança)

> Dica de segurança: Armazene private.key num diretório seguro com acesso restrito. Nunca o carregue para um local público nem o partilhe por email.

#### Passo 2: Gerar o CSR

Com a sua chave privada criada, execute o seguinte comando para gerar o CSR:

openssl req -new -key private.key -out yourdomain.csr

O OpenSSL irá solicitar-lhe que preencha os campos do CSR de forma interativa:

Country Name (2 letter code) [AU]: US
State or Province Name (full name) [Some-State]: California
Locality Name (eg, city) []: San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Example Corp Ltd
Organizational Unit Name (eg, section) []: IT Department
Common Name (e.g. server FQDN or YOUR name) []: www.example.com
Email Address []: admin@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

> Dica profissional: Deixe a “challenge password” em branco, a menos que a sua CA o exija especificamente. Acrescenta complexidade sem benefício de segurança significativo na maioria dos fluxos de trabalho modernos.

Após concluir, o seu CSR é guardado em yourdomain.csr. Pode ver o seu conteúdo com:

openssl req -text -noout -verify -in yourdomain.csr

#### Passo 3: Gerar a Chave e o CSR num Único Comando

Para maior eficiência, pode combinar os Passos 1 e 2 num único comando:

openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out yourdomain.csr

Isto gera a chave privada e o CSR simultaneamente, solicitando-lhe as mesmas informações dos campos.

#### Passo 4: Submeter o CSR à sua Autoridade de Certificação

Abra o ficheiro yourdomain.csr num editor de texto e copie todo o seu conteúdo — incluindo as linhas -----BEGIN CERTIFICATE REQUEST----- e -----END CERTIFICATE REQUEST-----. Cole-o no formulário de submissão da sua CA ao adquirir ou renovar o seu certificado SSL.

#### Passo 5: Proteger a sua Chave Privada

Após receber e instalar o seu certificado SSL, certifique-se de que private.key está:

Armazenado com permissões de ficheiro restritas (chmod 600 private.key no Linux)
Com cópia de segurança num local seguro e encriptado
Nunca transmitido através de canais inseguros

Se a chave privada for perdida ou comprometida, deve gerar um novo par de chaves, criar um novo CSR e solicitar a reemissão do certificado.

Método 2: Utilizar cPanel (Alojamento Partilhado & VPS)

Se o seu ambiente de alojamento utiliza cPanel, pode gerar um CSR diretamente através da interface gráfica — sem necessidade de experiência em linha de comandos. Isto é ideal para utilizadores em Alojamento Web Partilhado ou um VPS com cPanel.

Passos:

Inicie sessão na sua conta cPanel.
Navegue até à secção Segurança e clique em SSL/TLS.
Em Certificate Signing Requests (CSR), clique em “Gerar, ver ou eliminar pedidos de assinatura de certificados SSL.”
Preencha os campos do formulário CSR:

Key Size: Selecione 2048 (recomendado) ou 4096 bits
Domains: Introduza o seu FQDN (ex., www.example.com)
City, State, Country: Detalhes de localização da sua organização
Company & Division: Nome legal da organização e departamento
Email: Endereço de email de contacto

Clique em Gerar.
O cPanel irá apresentar o seu CSR. Copie o texto completo e submeta-o à sua CA.

> O cPanel também armazena a sua chave privada automaticamente e associa-a ao CSR, simplificando o passo posterior de instalação do certificado.

Método 3: Utilizar IIS no Windows Server

Para administradores que gerem websites no Windows Server com Internet Information Services (IIS), o IIS Manager fornece um assistente integrado de geração de CSR.

Passos:

Abra o IIS Manager (inetmgr).
No painel Connections à esquerda, selecione o nome do seu servidor (não um site específico).
No painel central, faça duplo clique em Server Certificates.
No painel Actions à direita, clique em Create Certificate Request…
Preencha as Distinguished Name Properties:

Common name, Organization, Organizational unit, City, State, Country

Clique em Next.
Na página Cryptographic Service Provider Properties:

Cryptographic service provider: Microsoft RSA SChannel Cryptographic Provider
Bit length: 2048 (mínimo) ou 4096

Clique em Next, escolha um caminho de ficheiro para guardar o CSR e clique em Finish.
Abra o ficheiro .txt guardado, copie o seu conteúdo e submeta à sua CA.

> Nota: O IIS armazena a chave privada pendente internamente. Não elimine o pedido pendente do IIS Manager até ter instalado com sucesso o certificado emitido.

Geração de CSR: Comparação Rápida dos Métodos

Método	Plataforma	Nível de Competência	Mais Adequado Para
OpenSSL CLI	Linux, macOS, Windows	Intermédio	Programadores, administradores de sistemas, utilizadores de VPS
cPanel GUI	Qualquer alojamento baseado em cPanel	Iniciante	Alojamento partilhado, utilizadores de VPS gerido
IIS Manager	Windows Server	Intermédio	Servidores web baseados em Windows

Erros Comuns a Evitar no CSR

Mesmo administradores experientes cometem ocasionalmente erros ao gerar CSRs. Aqui estão os erros mais comuns:

Utilizar um Common Name incorreto: O CN deve corresponder exatamente ao domínio que pretende proteger. Para um certificado wildcard, utilize *.example.com. Para um certificado multi-domínio (SAN), a interface da sua CA tratará os domínios adicionais separadamente.

Abreviar o campo State/Province: Escreva sempre o nome completo (ex., “California,” não “CA”). Algumas CAs rejeitarão entradas abreviadas.

Perder a chave privada: O CSR e a chave privada são um par correspondente. Se perder a chave privada antes de instalar o certificado, terá de recomeçar.

Utilizar um tamanho de chave inferior a 2048 bits: As CAs e browsers modernos requerem um mínimo de chaves RSA de 2048-bit. Utilizar algo menor resultará em rejeição ou avisos do browser.

Reutilizar CSRs antigos: Gere sempre um CSR novo para cada novo pedido de certificado ou renovação. Reutilizar CSRs pode introduzir riscos de segurança e pode ser rejeitado por algumas CAs.

Após o CSR: Instalar o seu Certificado SSL

Assim que a sua CA valida o seu CSR e emite o certificado, receberá um ou mais ficheiros .crt ou .pem. Os passos de instalação variam consoante a plataforma:

Apache/Nginx no Linux: Configure os caminhos dos ficheiros de certificado na configuração do seu virtual host
cPanel: Utilize o SSL/TLS Manager para instalar o certificado com a chave privada correspondente
IIS: Utilize “Complete Certificate Request” no IIS Manager para importar o certificado emitido
Plesk / DirectAdmin: Utilize as interfaces integradas de gestão de certificados SSL

Para utilizadores em Alojamento VPS ou Servidores Dedicados, tem acesso root completo para gerir a instalação de certificados diretamente através da linha de comandos ou do seu painel de controlo preferido.

Perguntas Frequentes Sobre CSRs

Posso reutilizar um CSR para múltiplos certificados?

Tecnicamente sim, mas é fortemente desaconselhado. Cada pedido de certificado deve utilizar um CSR e par de chaves recém-gerados para manter uma higiene de segurança adequada.

Qual é a validade de um CSR?

Um CSR em si não expira, mas o certificado emitido a partir dele expira (tipicamente 1 ano para certificados SSL modernos). Deve gerar um novo CSR cada vez que renova o seu certificado.

Qual é a diferença entre um CSR e um certificado?

Um CSR é o seu *pedido* para obter um certificado. O certificado é o *documento emitido* pela CA, assinado com a chave privada da CA, em que os browsers confiam.

Preciso de um CSR para o Let’s Encrypt?

O protocolo ACME do Let’s Encrypt (utilizado por ferramentas como o Certbot) trata da geração do CSR automaticamente em segundo plano. No entanto, também pode fornecer um CSR personalizado se necessário.

Conclusão

Um Certificate Signing Request (CSR) é o primeiro passo essencial para obter um certificado SSL/TLS para o seu website. Empacota a sua chave pública e identidade organizacional num formato padronizado que as Autoridades de Certificação utilizam para emitir certificados de confiança — permitindo HTTPS, encriptando dados dos utilizadores e construindo a confiança dos visitantes.

Quer esteja a utilizar OpenSSL num VPS Linux, a interface gráfica cPanel num plano de alojamento partilhado, ou o IIS Manager num Windows Server, o processo segue os mesmos princípios fundamentais: gerar uma chave privada segura, criar o CSR com informações precisas, submetê-lo à sua CA e proteger a sua chave privada ao longo de todo o processo.

Pronto para proteger o seu website? Explore os Certificados SSL da AlexHost para uma gama de opções adequadas a todos os tamanhos de projeto e orçamento — desde validação de domínio básica até certificados de validação estendida para ambientes empresariais. Combine o seu certificado SSL com Alojamento VPS ou Servidores Dedicados fiáveis para garantir que a sua infraestrutura é tão robusta quanto a sua postura de segurança.