## JWT (JSON Web Token)
***

Quando estamos trabalhando com API’s, nós precisamos pensar na segurança no momento no momento de trafegar os dados e principalmente no nível de permissão que cada usuário deverá ter. Existem muitas formas de se fazer isso, mas uma que vem se destacando a cada dia que se passa é o JWT (JSON Web Token), por ser muito seguro e fácil de se implementar.

Bom, o JWT (JSON Web Token) é um sistema de transferência de dados que pode ser enviado via POST ou em um cabeçalho HTTP (header) de maneira “segura”, essa informação é assinada digitalmente por um algoritmo HMAC, ou um par de chaves pública/privada usando RSA. Podemos ver na imagem a baixo um cenário onde será requisitado um token através do Verbo HTTP POST, que irá devolver um token validado para que nas próximas requisições que utilizem os Verbos HTTP possam utilizar.

![image](https://user-images.githubusercontent.com/14116020/61345892-4cfaa480-a82d-11e9-8276-720d9e32d67d.png)

A estrutura dele é formada por 3 partes: Header, Payload e Signature.

***
### Header
***

O Header consiste em duas partes encodados em Base64 sendo:

* O Tipo (JWT)
* E o algoritmo de Hash que pode ser (HMAC SHA256 ou RSA).

Sabemos que o HS256 utiliza de uma string para criptografar e o RS256 utiliza de chave publica e privada.

**Exemplo**:

```json
{
 "alg": "HS256",
 "typ": "JWT"
}
```

***
### Payload (Claims)
***

Os payloads são objetos JSON que contem os claims, nessa parte que nós trabalhamos com os “pedidos”, carga de dados ou dados enviados. Existem 3 tipos de claims em Payloads: reserved, public, e private claims.

**Reserved claims**: Atributos não obrigatórios (mas recomendados) que podem ser um conjunto de informações uteis e interoperáveis normalmente utilizados por protocolos de segurança em API’s:

* “iss” (Issuer) Origem do token
* “iat” (issueAt) Timestamp de quando o token foi gerado
* “exp” (Expiration) Timestamp de quando o token expira
* “sub” (Subject) Entidade a quem o token pertence, normalmente o ID do usuário

**Public claims**: São atributos que definem o uso do JWT e informações úteis para a aplicação.

**Private claims**: São atributos definidos especialmente para compartilhar informações entre aplicações

**Exemplo**:

```json
{
 "iss": "127.0.0.13",
 "exp": 1300819380,
 "user": "programadriano",
 "admin": true
}
```

***
### Signature
***

Essa é a terceira e última parte do JWT, para que possamos ter um token, nós precisamos de um Header, Payload, o algoritmo definido na header, um secret definido pela nossa aplicação. Vamos ver um exemplo com a utilização do HMAC SHA256:

```json
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); + "." + HMACSHA256(encodedString, 'secret');
```

O seu retorno seria o token a baixo:

```json
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1bmlxdWVfbmFtZSI6IlRoaWFnbyIsInN1YiI6IjEzIiwianRpIjoiZDBlMGFkZDItOTlkMC00NWY1LThlYzEtY2FiYzIwZjkxMGYyIiwiaWF0IjoxNTAwMDMzMjE0LCJKd3RWYWxpZGF0aW9uIjoiVXN1YXJpbyIsIm5iZiI6MTUwMDAzMzIxMywiZXhwIjoxNTAwMDMzMjczLCJpc3MiOiJJc3N1ZXIiLCJhdWQiOiJBdWRpZW5jZSJ9.SmjuyXgloA2RUhIlAEetrQwfC0EhBmhu-xOMzyY3Y_Q
```

Podemos perceber que o nosso token está dividido em três partes separadas por “.”, conforme nós utilizamos no momento da criação.

Primeira parte: **Header**.

```json
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
```

Segunda parte: **Payload**.

```json
eyJ1bmlxdWVfbmFtZSI6IlRoaWFnbyIsInN1YiI6IjEzIiwianRpIjoiZDBlMGFkZDItOTlkMC00NWY1LThlYzEtY2FiYzIwZjkxMGYyIiwiaWF0IjoxNTAwMDMzMjE0LCJKd3RWYWxpZGF0aW9uIjoiVXN1YXJpbyIsIm5iZiI6MTUwMDAzMzIxMywiZXhwIjoxNTAwMDMzMjczLCJpc3MiOiJJc3N1ZXIiLCJhdWQiOiJBdWRpZW5jZSJ9.
```

Terceira parte: Secret.

```json
SmjuyXgloA2RUhIlAEetrQwfC0EhBmhu-xOMzyY3Y_Q
```

Quando um usuário faz uma requisição ao servidor passando os seus dados de login, o servidor analisa e retorna um token com uma validade, para que o usuário possa navegar pelo sistema.

Para que possamos validar se o nosso token está correto podemos utilizar o próprio [site do JWT](https://jwt.io/). Para isso, basta copiar o token acima que criamos para esse exemplo e colar na parte Encoded do site. Podemos ver o seu retorno dessa validação na imagem a baixo:

![image](https://user-images.githubusercontent.com/14116020/61346224-402a8080-a82e-11e9-89a6-fda3e64be42f.png)

Agora lembra que acima comentamos sobre a palavra chave? Podemos adicionar ela na parte VERIFY SIGNATURE do site, para esse exemplo nós utilizamos a frase: batman batman batman, notem que após colocarmos ela irá mudar o status da nossa assinatura conforme a baixo de Invalid Signature para Signature Verified.

![image](https://user-images.githubusercontent.com/14116020/61346262-66502080-a82e-11e9-96dd-8cd074bf3ae2.png)

***
### Biblioteca
***

[PyJWT](https://github.com/jpadilla/pyjwt)

***
### HS256
***

In [1]:
import jwt

In [2]:
header = {
  "alg": "HS256",
  "typ": "JWT"
}

In [3]:
payload = {
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

In [4]:
secret = "ola mundo"

In [5]:
encoded = jwt.encode(payload, secret, headers=header, algorithm='HS256')
print(encoded)

b'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE1MTYyMzkwMjIsIm5hbWUiOiJKb2huIERvZSIsInN1YiI6IjEyMzQ1Njc4OTAifQ.xRK-qayCjKTLTKnARdeOmfng1Sm6e2XVTsCFQ0KHb6E'


In [6]:
decoded = jwt.decode(encoded, secret, algorithm='HS256')
print(decoded)

{'sub': '1234567890', 'iat': 1516239022, 'name': 'John Doe'}


***
### RS256
***

In [7]:
private_key = "..."

In [8]:
public_key = "..."

In [None]:
encoded = jwt.encode(payload, private_key, headers=header, algorithm='RS256')
print(encoded)

In [None]:
decoded = jwt.decode(encoded, public_key, algorithms='RS256')
print(decoded)

***
### Criptografia assimétrica e a importância das chaves
***

Poder contar algo a alguém e ter a tranquilidade que ninguém vai saber é o sonho de muita gente, inclusive de grandes reis, militares, países, antigos reinos, do FBI, políticos...como ouvir o segredo alheio é o sonho de muitos espiões e hackers.

Criptografia, senha, segredos...sempre foi e sempre serão assuntos que despertarão curiosidade.

A criptografia simétrica são aqueles que envolvem a simples troca da chave através do compartilhamento entre as partes envolvidas, o que é, de certa forma, bem inseguro, pois basta ter acesso a chave para quebrar o código e ter acesso a mensagem.

Para entender melhor, faça uma analagia como a troca da chave de um cadeado mesmo.

Por mais que você contrate segurança ou confie no SEDEX, se trocar a chave de sua empresa/casa com alguém, correrá sempre o risco de alguém pegar a chave, copiar, roubar etc.

Pra dificultar isso (em criptografia, o objetivo é sempre dificultar), existe a criptografia assimétrica, onde se usa mais de uma chave, no caso, a chave pública e a chave privada, assim, só ter a chave não significa tudo.

Assim como só ver a mensagem não significa nada. Pois, na criptografia simétrica, você decifrava a mensagem cifrada com sua chave.

Porém, na assimétrica, tendo uma chave só, você não é capaz de fazer nada com a mensagem. Aliás, algumas chaves são até públicas e não é difícil encontrarmos mensagens secretas por aí, mas na forma cifrada.

Você verá que é importante saber a autenticidade das mensagens, pois, principalmente nos meios digitais, qualquer um pode 'ser' qualquer um. E a criptografia entra nisso por meio dos certificados digitais.

Durante muito tempo, o objetivo maior sempre foi como fazer com que essa troca de chave entre as partes envolvidas fosse a mais segura possível. Dois nobres criaram um método que foi bastante eficiente (note que falaremos sempre 'bom', 'eficiente', 'útil' e jamais 'perfeito' e 'seguro', pois jamais haverá sistemas totalmente perfeitos e totalmente seguros).

Estes, Whitfield Diffie e Martin Hellman, citam o seguinte experimento, que é genial:

> Escreva um segredo. Ponha numa caixa e tranque com cadeado.

> Mande, por algum meio, pra alguém que você quer que leia a mensagem. Mas sem a chave.

> Mande esse alguém passar o cadeado também e devolver, mas sem a chave também.

> Agora você tem a caixa, com dois cadeados. Abra seu cadeado e devolva pra pessoa, só com o cadeado da pessoa trancando a caixa.

> A pessoa abre e lê.

Isso de segredo chave é muito importante, pois no caminho você não sabe quem vai ter acesso a sua chave, quem pode copiar, roubar, espiar, anotar suas informações etc. Então, quanto menos os outros tiverem acesso as suas informações, melhores.

Daí a importância do experimento de Diffie-Hellman, você troca informação, mas não envia sua chave pra ninguém. Vocês usaram duas chaves. Se fosse só uma chave, não teria jeito, sua chave teria que viajar o Brasil pelos Correios, para que fosse possível trocar a informação.

Esse é o exemplo mais simples...pode-se usar mais cadeados, de dezenas de pessoas, chefes de uma empresa por exemplo, o que tornaria a mensagem super segura.

A partir dessa simples ideia, foi desenvolvido o algoritmo de Diffie-Hellman para troca de informações em meios não confiáveis.

E qual os meios não confiáveis?

Praticamente todos.

> Por exemplo, vamos supor que eu quero te passar minha senha que é 12.

> Eu cifro ela com meu cadeado, 10, na forma de soma e te passo: 22 (12+10).

> Você cifra essa informação 22, com o seu cadeado, 20, e me devolve o número 42 (22+20),

> Eu decifro com a chave do meu cadeado, 42-10=32 e te devolvo;

> Você decifra com a chave do seu, 32-20=12, e terá a senha.

Note que as informações que percorreram o Universo foram 22, 42, 32...qualquer um que pegar essas informações não poderão fazer nada com ela, pois não são minha senha. Eu não disse a senha em nenhum momento. Só enviamos a senhas cifradas. Posso criar um programa para cifrar minha mensagem, enviar ela a fóruns, onde meus amigos irão cifrar, cada um com sua chave, e não importa a ordem.

Óbvio, quanto menos pessoas souberem do fórum, melhor. Mas, se souberem, não tem problema.

Além de nao saberem do algoritmo para cifrar as mensagens, não sabem das chaves, nem sabem quantas chaves são e nem a ordem com que cada chave cifrou a mensagem que ele está vendo.

Notou como dificultamos bastante a coisa?

Ou seja, o que ocorre na Internet é aquela experiência da troca da informações nas caixas, trancadas com cadeados. Porém, na forma e sob o rigor de teoremas Matemáticos, envolvendo complexos algoritmos, que fornecem toda a segurança necessária... ou não?

O que mostramos aqui foram métodos. Nada é definitivo.

Métodos são burlados. Problemas são achados em Teoremas...assim como falhas são achadas em sistemas, isso é ruim para alguns (empresas) e bom para outros (hackers, entusiastas, estudantes, pessoas com tédio). Mas essa 'guerra' constante é o que faz a tecnologia evoluir. Essa constante busca por novos métodos, a busca pelo aperfeiçoamento.
Diffie e Hellman acharam seu algoritmo para a troca de chave quando todos já tinham desistido.

***
### Chaves publicas e privadas para criptografia
***

Ter só uma chave, seja da sua casa ou de arquivos e certificados digitais é dor de cabeça.
A ideia por trás das chaves é de milhares de anos, e até César já se envolveu com criptografia, mas sua ideia é 'boba' e insegura demais pra ser usada hoje em dia.

Aprenda como usar chaves públicas e privadas, o que são, como são usadas, para que servem e através de exemplos simples veja como proteger suas informações e seus dados.
São ideias geniais!

Diferente da criptografia simétrica, onde se tem somente uma chave (e tendo esta, seu segredo está vulnerável, como a cifra de Ceśar), a chave pública está relacionada com a chave privada, conforme falamos no artigo anterior, sobre criptografia assimétrica.

Aqui falaremos mais detalhadamente sobre o uso das chaves públicas e privadas, como funcionam, para que servem e como você pode usufruir destas ideias simples, porém geniais.

Estas são matematicamente relacionadas de modo que se usa uma para cifrar/criptografar uma mensagem, então só será usada para decifrar/descriptografar.

Devido as modernas técnicas de Matemática, Computação, Altoritmos e outras coisas, como Criptoanálise, tendo uma das duas chaves é quase impossível obter a mensagem secreta ou a segunda chave, com os atuais conhecimentos em matemática e computação, o que nos fornece um importante recurso, essencial em certificados: autenticidade.

O processo da criptografia é feito tornando uma das chaves pública (não tão pública assim, divulgue pra quem deve saber, por e-mail por exemplo. Mas não divulgue na TV, por exemplo) e ficando com uma para você, totalmente em segredo, esta é a chave privada.

Agora vem o pulo do gato.

Suponha que você divulgou a chave pública para uma empresa sócia e agora ela necessita comprovar que você é você, pela rede.

Ela tem a chave pública, e você também.

Para provar que você possui a chave privada, encripte uma mensagem. Como isso vai provar que você tem a chave privada?

Muito simples. A chave pública, que o sócio da outra empresa possui, vai servir para descriptografar estar mensagem.

Se qualquer outra pessoa criar uma mensagem e mandar pra esta empresa sócia e este sócio tentar ler a mensagem com a chave pública que ele possui, não vai conseguir ler, pois o algoritmo das chaves foi feito para que somente seja possível ler

A criptografia de chave pública é usada para 'assinar' informações digitais, usadas em Certificados Digitais, usados para atestar e autenticar pessoas, usuários e serviços, ou seja, para sabermos com certeza quem é quem. Lembre-se, na rede, é mais fácil uma pessoa se passar por outra.

O primeiro passo da assinatura é usar a função hash, que é um algoritmo que transforma uma série de informação (texto), pega um bloco de informações, criptografa (não é secreta) e retorna um bit de strings.
Procure por 'hash function online' no gole e achará sites que farão essa conversão.

"programação progressiva" se torna "97b20b6e", por exemplo.

É uma forma da organizar, na visão da criptografia, visto que podemos reescrever textos humanos de uma forma mais simples e minimalista usando recursos e símbolos, através de alguns algoritmos usados nas funções de hash.

Com sua chave privada, encripte a hash e anexe em sua mensagem. Envie, sabendo que o destinatário tem a chave pública.

Quando este receber a mensagem, deverá possuir o mesmo algoritmo que gera a hash, então ele deverá usar essa função de hash e então decriptar o hash encriptado que você anexou na mensagem.

Se o hash calculado (sim, é matemática) e o hash decifrado baterem, é porque a assinatura comprova que a mensagem não foi alterada desde que foi enviada.

***
### Certificados Digitais
***

Quando você faz uma compra em uma loja você recebe a nota fiscal, você vê a loja, os vendedores, conhece ela, conhece quem compra, ela faz propaganda em mídias conhecidas...isso tudo certifica você sobre sobre a autenticidade da loja, que ela é confiável.

E na Internet? Como você sabe quem está por trás daquele site ou daquele serviço? Como confiar? Como as grandes empresas confiam uma nas outras? Com isso falaremos dos certificados digitais que é o meio que as pessoas, empresas e serviços usam para se 'reconhecer' como confiáveis na rede!

Fazer um site é fácil. Qualquer um pode fazer, clonar ou se passar por alguém, por alguma empresa ou por algum serviço.

E não é só as grandes empresas e indústrias que usam. O usuário comum pode precisar usar também.

Existem ferramentas para se criar e certificar certificados, que são usadas em serviços, como do Globus, que é uma ferramenta para computação em Grid, VPN, Apache e outros.

Como há muitos serviços que usam certificados, usarei o exemplo do Globus, que é um Toolkit para Computação Distribuída, que usa os certificados para funcionar.

No Globus, você conecta vários computadores em rede e divide as tarefas entre estes usuários.

#### O mercado de certificações

Todos os usuários e serviços do Grid são identificados via certificado.

Este contém todas as informações para identificação e autenticação do usuário/serviço. O Globus só funciona depois que cada usuário identifica o outro, sabe quem é e 'confia' nele.

Essa 'confiança' se dá através dos CA - Certificate Authority, ou seja, autoridades certificadores.

Elas emitem certificados, ou assinam os seus, que são, teoricamente, confiáveis.

Existem sites que vendem estes tipos de serviços e são bastante reconhecidos, como o www.certisign.com.br

Estes tipos de sites funcionam como uma rede de confiança.

Quando você contrata o serviço deles, eles entram em contato com você e realmente checam que você é você e assim você pode usar isso publicamente.

Elas existem na forma de empresas isoladas ou teia de confiança, que assinam só ou conjuntamente seus certificados.

Por exemplo, imagine que a Tia Rosy emitiu o 'CA da titia rOsY' no site dela, de graça e você usa isso para vender seu produto na Internet (alguns serviços de e-commerce e setores financeiros exigem certificados para funcionarem).

Quem vai confiar no certificado dela? Quem é ela? Ninguém ia confiar, ué.

Agora imagine uma autoridade certificadora que já trabalhou com o Google, a Globo.com, a Amazon, o Programação Progressiva...é claro que iriam confiar em uma autoridade certificadora que trabalhou com estes sites.

E existe esta rede de CAs, onde um 'certifica' o outro, ou seja, autentica a existência do outro.

O que é muito importante, pois assim podemos confiar mais nas empresas, já que não estamos vendo elas e muitas vezes elas nem existem fisicamente em nosso país ou nem existe fisicamente.

A criação de um certificado digital em uma empresa competente é um processo simples, primeiro porque você vai pagar, segundo porque elas já são especializadas nisso. Mas vai exigir algumas medidas de segurança, que exigem, dentre outras coisas, um encontro entre empresa e cliente.

Assim, antes essa afirmação que parecia ser boba agora faz sentido: os certificados certificam quem você é. Através do aval dessas entidades/empresas/teias, podemos confiar e saber que você realmente é quem diz ser e assim posso adquir seus serviços e comprar seus produtos.

Porém, alguns programas, como o Globus, exigem estes certificados, emitidos por CAs, para que possamos usar.
Isso é normal, por exemplo no projeto do LHC ou entre troca de informações entre grandes universidades.

Mas se você quiser montar sua grid em sua casa ou em sua faculdade. E aí, você vai pagar para estudar e fazer testes?

Claro que não. Como citei anteriormente, existem ferramentas que emitem e auto-assinam esses certificados para você usar de uma forma 'interna' e gratuita, em seu computador ou em sua rede. Uma ferramenta para isso é o OpenSSL

Agora vamos voltar ao exemplo do Globus e entrar em detalhes como ocorre por trás dos panos essa identificação.

#### Mútua autenticação

A mútua autenticação é quando as duas partes podem comprovar, por meio das CAs, quem elas dizem ser.

Para isso acontecer, as duas precisam ter certificados, sob mesmo padrão (como o X.509), estes precisam estar assinados por CAs e uma parte precisa confiar no certificado assinado do outro.

Após todo esse protocolo, as partes podem dar início a comunicação.

Geralmente, é usado o SSL - Secure Sockets Layer - pra autenticação desse protocolo (ou a TLS, sua versão mais nova).

Antes da autenticação ocorrer, as partes devem confiar nas CAs que assinam os certificados das outras, isso quer dizer que uma tem os certificados da CA da outra, que contém as chaves públicas das AC e então eles confiam que estes certificados realmente pertencem as CAs.

O passo-a-passo da autenticação é o seguinte:

* A e B se conectam.

* A dá seu certificado para B, com as informações para provar quem realmente ele é, além da chave pública de A e que Autoridade Certificadora está usando para atestar seu certificado.

* B primeiro vai checar se o certificado é válido através da assinatura digital da CA, que a CA é confiável e que o certificado não foi adulterado (Aqui entra a importância da CA que assinou o certificado).

* Neste ponto B já checou o certificado de A, B precisa se certificar que A é a pessoa identificada pelo certificado. Para isso, B irá testar A através de uma mensagem aleatória e pedindo que A encripte-a.

* A encripta a mensagem usando usa chave privada e envia de volta para B.

* Se usando a chave pública, B obtiver a mesma mensagem aleatória gerada antes, ele saberá que A é realmente o mesmo do certificado.

O processo se repete para A se certificar de B, através do certificado de B para A, da validação por A e através da validação da mensagem encriptada.

Após isso, a autenticação mútua é concluída com a certeza da identidade um do outro.

***
### Como criar um certificado digital
***

Agora que você sabe o que é um certificado e sua relação com criptografia/chaves públicas e privadas, como funcionam e para que servem, está na hora de fazer um com suas próprias mãos.

Aprenda como criar, configurar, fazer o pedido (request) para a CA e revogar certificados em OpenSSL

Uma das maneiras de criar certificados é através da ferramenta OpenSSL, no Linux, que é um conjunto de bibliotecas que usa criptografia para gerar os certificados.

Vamos usar, configurar e criar certificados X.509.

Entre no site da OpenSSL: www.openssl.org

E baixe a última versão, geralmente é a que está destacada e escrita LATEST: www.openssl.org/source/

Você pode ir na pasta que baixou, clicar com o botão direito e extrair.
Ou pelo terminal. Aqui, o comando foi:

```
tar -zxf openssl-1.0.1c.tar.gz
```

Agora, pelo terminal, entre na pasta através do comando 'cd':

```
cd openssl-1.0.1c
```

Vamos dar início a instalação do OpenSSL. Primeiro, configure:

```
./config
```

Depois, o make, que irá preparar o sistema e os arquivos para a instalação, algumas coisas aparecerão na tela:

```
make
```

Com tudo pronto, instale:

```
make install
```

Caso tenha problemas de permissão:

```
sudo make install
```

Pronto, o OpenSSL está instalado.

Certifique-se indo na pasta ```/usr/local/ssl/misc```

Dê o comando ```ls``` e veja os arquivos ```CA.sh```, ```CA.pl``` e outros, criam os certificados.

Caso queira mais detalhes e opções sobre a instalação, como testes e instalação em diferentes diretórios, consulte o arquivo ```INSTALL``` na pasta openssl que você descompactou.

Para efeito de organização, recomendo que crie uma pasta para cada certificado que vá criar:

```
mkdir cert1
```

Vamos criar o certificando usando o script ```CA.sh``` feito em Shell, lembrando que ele, assim como ```CA.pl``` feito em Perl são apenas ferramentas, os certificados podem ser feitos sem eles, usando as bibliotecas do OpenSSL, mas isso se torna um trabalho muito tedioso.

Para criar, entre na pasta do seu certificado e rode o scrip de lá e preencha o que lhe for solicitado:

```
cd cert1
sh /usr/local/ssl/misc/CA.sh -newca
```

![image](https://user-images.githubusercontent.com/14116020/61348285-67854b80-a836-11e9-81a1-886c9c5a4cb2.png)

De início, vai perguntar pra qual arquivo (filename) você deseja criar o CA, se nenhum, se deseja criar, dê enter e responda as perguntas.

Se desejar automatizar essas opções (Nome da empresa, grupo, cidade, estado), configure o arquivo ```openssl.cnf```

Note que dentro de sua pasta foi criada uma pasta chamada ```demoCA```, com toda a parafernália de arquivos, certificados e keys.

Essa foi a criação do CA, usando ```-newca``` como opção no script.

Mas somente criamos o CA. Criar um certificado qualquer um cria, ele precisa mesmo é ter valor.

#### CSR: Certificate Signing Request

Vamos agora solicitar o Certificado Digital, ou seja, fazer um request, um pedido.

Vamos fazer isso com a opção ```-newreq```, que irá criar uma chave pública, e terá informações sobre nossa empresa. Esse CSR vai assinado com a chave privada, então enviamos tudo isso criptografado para a CA, via chave pública.

Só então é que as autoridades validam nosso certificado.

Na prática, as empresas visitam o cliente para ter certeza das informações que este passou via CSR.

Porém, como vamos criar certificados caseiros, vamos ao OpenSSL:

La na sua pasta:

```
sudo sh /usr/local/ssl/misc/CA.sh -newreq
```

![image](https://user-images.githubusercontent.com/14116020/61348373-c1861100-a836-11e9-94d1-4528d1125e27.png)

Preencha os dados.

Caso esteja mexendo com Web, sua URL vai em Commom Name.

Você receberá a informação: 'Request is in newreq.pem, private key is in newkey.pem'

Ou seja, seu pedido está em 'newreq.pem' e sua chave privada em 'newkey.pem'.

Faça uma cópia desses arquivos e/ou mude o nome deles para algo melhor, 'projeto1req.pem' e 'projeto1key.pem'

Abra lá seu request, o meu ficou assim:

```
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
```

Todas as informações estão aí. Que maravilha essa criptografia, não?
Geralmente é essa informação que as empresas pedem pra validar seu certificado.

Bom, se for seu caso criar o certificado e fazer o pedido em uma CA 'de verdade', pode parar por aqui e espero ter te ajudado.

#### Assinando

Caso queira criar e assinar seus certificados, vamos continuar.

Isso é feito com a opção ```-sign``` (sabendo inglês, deve notar que é tudo bem auto explicativo).

```
sudo sh /usr/local/ssl/misc/CA -sign
```

![image](https://user-images.githubusercontent.com/14116020/61348489-440ed080-a837-11e9-906b-40000ab93db1.png)

Vai mostrar as informações do certificado e vai perguntar se vai querer assinar.

Isso é particularmente importante se você estiver numa máquina que é uma espécie de Administrador e precisar certificar o certificado dos outros.

Por exemplo, é você que certifica as máquinas que farão parte do Grid, se estão de acordo com os protocolos etc.

Após a assinatura, o certificado certificado estará em 'newcert.pem', como mostrou a última linha:
Signed certificate is in newcert.pem

Outras informações estão no 'newreq.pem'

Agora vá na demoCA e abra o index.txt, veja que ele tem algumas informações sobre os certificados. Note o 'V', é de válido.

#### Revogando

Vamos supor que alguém te hackeou, descobriram sua senha ou tentaram 'logar em você' com um certificado estranho.

Os arquivos revogados ficam em uma lista, a CRL - Certificate Revolotacion List. Antes de revogar, crie uma:

```
sudo openssl ca -gencrl cert_rev.pem
```

O OpenSSl oferece uma ferramenta pra revogar os certificados. Vamos revogar o que criamos, o newcert.pem

```
sudo openssl ca -revoke newcert.pem
```

![image](https://user-images.githubusercontent.com/14116020/61348549-77e9f600-a837-11e9-8b50-9832acdd8029.png)

Bote a senha, e estará revogado. Agora veja o que aconteceu com o index.txt

Crie a pasta ```demoCA/crlnumber``` caso tenha algum erro do tipo 'no such file'

```
echo 01 > demoCA/crlnumber
```

Então revogue.