OpenSSL: Criando uma Autoridade Certificadora (CA): Difference between revisions
| Line 42: | Line 42: | ||
Você precisará fornecer informações semelhantes ao preencher o certificado da CA. | Você precisará fornecer informações semelhantes ao preencher o certificado da CA. | ||
Assinar o CSR do servidor com a CA para obter o certificado do servidor: | |||
3) Assinar o CSR do servidor com a CA para obter o certificado do servidor: | |||
openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365 | openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365 | ||
= Criando um par de Chaves= | = Criando um par de Chaves= | ||
Revision as of 20:23, 16 November 2023
Vou mostrar como criar uma Autoridade Certificadora (CA).
Esse CA vai ser utilizado nos meus exemplos de configuração IBM Sterling.
Procedimento
Instalando
1) Instalando os Pacotes
yum install -y openssl
Criando uma Autoridade Certificadora
Criando a CA
1) Criar a chave privada da CA:
openssl genrsa -out ca-key.pem 2048
2) Gerar o certificado da CA com detalhes personalizados:
openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650 \ -subj "/C=BR/ST=DF/L=/O=Test Net Ltd/CN=Autoridade Certificadora da Test Net Ltd/emailAddress=[email protected]"
3) Para verificar o certificado da CA:
openssl x509 -in ca-cert.pem -text -noout
Criar um Certificado para o Servidor
1) Criar a chave privada do servidor:
openssl genrsa -out server-key.pem 2048
2) Criar uma solicitação de certificado (CSR) para o servidor:
openssl req -new -key server-key.pem -out server-csr.pem \ -subj "/C=BR/ST=DF/L=/O=Test Net Ltd/CN=server01.test.net/emailAddress=[email protected]"
Você precisará fornecer informações semelhantes ao preencher o certificado da CA.
3) Assinar o CSR do servidor com a CA para obter o certificado do servidor:
openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 365
Criando um par de Chaves
Execute o comando no Windows
perl CA.pl -newreq
ou no Linux
./CA -newreq
Informe
Country Name (2 letter code) [BR]: <ENTER> State or Province Name (full name) [DF]:<ENTER> Locality Name (eg, city) [Brasilia]:<ENTER> Organization Name (eg, company) [Test Net Ltd]: <ENTER> Organizational Unit Name (eg, section) [Ditec]:<ENTER> Common Name (eg, YOUR name) []:www.test.net Email Address [[email protected]]:<ENTER>
Será criado 2 arquivos:
- newreq.pem: Arquivo de requisição (CSR)
- newkey.pem: Chave privada assinada
Assine a chave criada OpenSSL: Assinando um CSR com a nossa CA
Disponibilizando a CA
Agora que criamos a CA, vamos disponibilizar ele para importar no Navegador, ou para ser importado na Trust Store.
O certificado raiz é o arquivo
- Linux: /etc/pki/CA/ca-cert.pem
- Windows: C:\Program Files\OpenSSL-Win64\bin\demoCA\cacert.pem
Renomeie-o para ca-company.crt e coloque em um site interno para download ou distribua via Police no MS Windows (GPO).
Ver também