OpenSSL: Criando uma Autoridade Certificadora (CA): Difference between revisions
| (44 intermediate revisions by the same user not shown) | |||
| Line 5: | Line 5: | ||
= Procedimento = | = Procedimento = | ||
1) Instalando os Pacotes | 1) Instalando os Pacotes do openssl no RedHat Linux | ||
yum install -y openssl | yum install -y openssl | ||
= Criando uma Autoridade Certificadora = | = Criando uma Autoridade Certificadora = | ||
1) Criar a chave privada da CA: | |||
openssl genrsa -out ca-key.pem 4096 | |||
2) Gerar o certificado da CA com detalhes personalizados: | |||
openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650 \ | |||
-subj "/C='''BR'''/ST='''DF'''/L=/O='''TestNet Ltd'''/CN='''Autoridade Certificadora da TestNet Ltd'''/emailAddress='''[email protected]'''" | |||
= Criar um Certificado para o Servidor = | |||
1) Criar a chave privada do servidor: | |||
openssl genrsa -out server-key.pem 2048 | |||
2) Criar uma solicitação de certificado (CSR) para o servidor: | |||
openssl req -new -key server-key.pem -out server-csr.pem \ | |||
-subj "/C='''BR'''/ST='''DF'''/L=/O='''TestNet Ltd'''/CN='''server01.test.net'''/emailAddress='''[email protected]'''" | |||
Você precisará fornecer informações semelhantes ao preencher o certificado da CA. | |||
3) Assinar o CSR do servidor com a CA para obter o certificado do servidor: | |||
openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial | |||
-out server-cert.pem -days 730 | |||
Será criado 2 arquivos: | |||
* server-csr.pem: Arquivo de requisição (CSR). | |||
* server-key.pem: Chave privada assinada | |||
* server-cert.pem: Chave pública assinada | |||
Você pode apagar o arquivo server-csr.pem, pois ele não será mais utilizado. | |||
= Verificar os certificados = | |||
1) Para verificar o certificado da CA: | |||
openssl x509 -in ca-cert.pem -text -noout | |||
3) Para verificar o certificado da CA: | |||
openssl x509 -in server-cert.pem -text -noout | |||
= Dicas = | |||
== Gerar o certificado da CA usando a chave privada protegida por senha == | |||
Execute o comando | |||
openssl genrsa -aes256 -out ca-key.pem 4096 | |||
Isso criará uma chave privada encriptada com o algoritmo AES256 e um tamanho de 4096 bits para a sua CA. Ao executar esse comando, você será solicitado a inserir uma senha para proteger a chave privada. | |||
= Ver também = | |||
* | * [[OpenSSL: Assinando um CSR com a nossa CA]] | ||
* | * [[OpenLDAP:Configurando um LDAP Proxy]] | ||
*[[Tecnologias| Mais Artigos sobre outras Tecnologias]] | |||
*[[Apache HTTP Server| Mais Artigos sobre Apache HTTP Server]] | |||
*[[Linux| Mais Artigos sobre Linux / UNIX / AIX]] | |||
[[Category:Linux]] | |||
[[Category:Tecnologias]] | |||
[[Category:Certificados TLS]] | |||
[[Category:OpenSSL]] | |||
[[Category:ikeyman]] | |||
Latest revision as of 22:04, 7 December 2023
Vou mostrar como criar uma Autoridade Certificadora (CA).
Esse CA vai ser utilizado nos meus exemplos de configuração IBM Sterling.
Procedimento
1) Instalando os Pacotes do openssl no RedHat Linux
yum install -y openssl
Criando uma Autoridade Certificadora
1) Criar a chave privada da CA:
openssl genrsa -out ca-key.pem 4096
2) Gerar o certificado da CA com detalhes personalizados:
openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650 \ -subj "/C=BR/ST=DF/L=/O=TestNet Ltd/CN=Autoridade Certificadora da TestNet Ltd/emailAddress=[email protected]"
Criar um Certificado para o Servidor
1) Criar a chave privada do servidor:
openssl genrsa -out server-key.pem 2048
2) Criar uma solicitação de certificado (CSR) para o servidor:
openssl req -new -key server-key.pem -out server-csr.pem \ -subj "/C=BR/ST=DF/L=/O=TestNet Ltd/CN=server01.test.net/emailAddress=[email protected]"
Você precisará fornecer informações semelhantes ao preencher o certificado da CA.
3) Assinar o CSR do servidor com a CA para obter o certificado do servidor:
openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 730
Será criado 2 arquivos:
- server-csr.pem: Arquivo de requisição (CSR).
- server-key.pem: Chave privada assinada
- server-cert.pem: Chave pública assinada
Você pode apagar o arquivo server-csr.pem, pois ele não será mais utilizado.
Verificar os certificados
1) Para verificar o certificado da CA:
openssl x509 -in ca-cert.pem -text -noout
3) Para verificar o certificado da CA:
openssl x509 -in server-cert.pem -text -noout
Dicas
Gerar o certificado da CA usando a chave privada protegida por senha
Execute o comando
openssl genrsa -aes256 -out ca-key.pem 4096
Isso criará uma chave privada encriptada com o algoritmo AES256 e um tamanho de 4096 bits para a sua CA. Ao executar esse comando, você será solicitado a inserir uma senha para proteger a chave privada.
Ver também