OpenSSL: Criando uma Autoridade Certificadora (CA): Difference between revisions

From Wiki
Line 45: Line 45:
3) Assinar o CSR do servidor com a CA para obter o certificado do servidor:
3) Assinar o CSR do servidor com a CA para obter o certificado do servidor:


  openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365
  openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial  
  -out server-cert.pem -days 730


Será criado 2 arquivos:
Será criado 2 arquivos:


* newreq.pem: Arquivo de requisição (CSR)
* server-csr.pem: Arquivo de requisição (CSR)
* newkey.pem: Chave privada assinada
* server-key.pem: Chave privada assinada





Revision as of 20:26, 16 November 2023

Vou mostrar como criar uma Autoridade Certificadora (CA).

Esse CA vai ser utilizado nos meus exemplos de configuração IBM Sterling.

Procedimento

Instalando

1) Instalando os Pacotes

yum install -y openssl

Criando uma Autoridade Certificadora

Criando a CA

1) Criar a chave privada da CA:

openssl genrsa -out ca-key.pem 2048

2) Gerar o certificado da CA com detalhes personalizados:

openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650 \
-subj "/C=BR/ST=DF/L=/O=Test Net Ltd/CN=Autoridade Certificadora da Test Net Ltd/emailAddress=[email protected]"

3) Para verificar o certificado da CA:

openssl x509 -in ca-cert.pem -text -noout


Criar um Certificado para o Servidor

1) Criar a chave privada do servidor:

openssl genrsa -out server-key.pem 2048

2) Criar uma solicitação de certificado (CSR) para o servidor:

openssl req -new -key server-key.pem -out server-csr.pem \
 -subj "/C=BR/ST=DF/L=/O=Test Net Ltd/CN=server01.test.net/emailAddress=[email protected]"

Você precisará fornecer informações semelhantes ao preencher o certificado da CA.

3) Assinar o CSR do servidor com a CA para obter o certificado do servidor:

openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial 
  -out server-cert.pem -days 730

Será criado 2 arquivos:

  • server-csr.pem: Arquivo de requisição (CSR)
  • server-key.pem: Chave privada assinada


Assine a chave criada OpenSSL: Assinando um CSR com a nossa CA

Disponibilizando a CA

Agora que criamos a CA, vamos disponibilizar ele para importar no Navegador, ou para ser importado na Trust Store.

O certificado raiz é o arquivo

  • Linux: /etc/pki/CA/ca-cert.pem
  • Windows: C:\Program Files\OpenSSL-Win64\bin\demoCA\cacert.pem

Renomeie-o para ca-company.crt e coloque em um site interno para download ou distribua via Police no MS Windows (GPO).


Ver também