Latest revision as of 22:04, 7 December 2023

Vou mostrar como criar uma Autoridade Certificadora (CA).

Esse CA vai ser utilizado nos meus exemplos de configuração IBM Sterling.

Procedimento

1) Instalando os Pacotes do openssl no RedHat Linux

yum install -y openssl

Criando uma Autoridade Certificadora

1) Criar a chave privada da CA:

openssl genrsa -out ca-key.pem 4096

2) Gerar o certificado da CA com detalhes personalizados:

openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650 \
-subj "/C=BR/ST=DF/L=/O=TestNet Ltd/CN=Autoridade Certificadora da TestNet Ltd/emailAddress=[email protected]"

Criar um Certificado para o Servidor

1) Criar a chave privada do servidor:

openssl genrsa -out server-key.pem 2048

2) Criar uma solicitação de certificado (CSR) para o servidor:

openssl req -new -key server-key.pem -out server-csr.pem \
 -subj "/C=BR/ST=DF/L=/O=TestNet Ltd/CN=server01.test.net/emailAddress=[email protected]"

Você precisará fornecer informações semelhantes ao preencher o certificado da CA.

3) Assinar o CSR do servidor com a CA para obter o certificado do servidor:

openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial 
  -out server-cert.pem -days 730

Será criado 2 arquivos:

server-csr.pem: Arquivo de requisição (CSR).
server-key.pem: Chave privada assinada
server-cert.pem: Chave pública assinada

Você pode apagar o arquivo server-csr.pem, pois ele não será mais utilizado.

Verificar os certificados

1) Para verificar o certificado da CA:

openssl x509 -in ca-cert.pem -text -noout

3) Para verificar o certificado da CA:

openssl x509 -in server-cert.pem -text -noout

Dicas

Gerar o certificado da CA usando a chave privada protegida por senha

Execute o comando

 openssl genrsa -aes256 -out ca-key.pem 4096

Isso criará uma chave privada encriptada com o algoritmo AES256 e um tamanho de 4096 bits para a sua CA. Ao executar esse comando, você será solicitado a inserir uma senha para proteger a chave privada.

Ver também

@@ Line 5: / Line 5: @@
 = Procedimento =
-== Instalando ==
-) Instalando os Pacotes
+) Instalando os Pacotes do openssl no RedHat Linux
   yum install -y openssl
 = Criando uma Autoridade Certificadora =
-== Criando a CA ==
 ) Criar a chave privada da CA:
-  openssl genrsa -out ca-key.pem 2048
+  openssl genrsa -out ca-key.pem 4096
 ) Gerar o certificado da CA com detalhes personalizados:
   openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650 \
-  -subj "/C='''BR'''/ST='''DF'''/L=/O='''Test Net Ltd'''/CN='''Autoridade Certificadora da Test Net Ltd'''/emailAddress='''[email protected]'''"
+  -subj "/C='''BR'''/ST='''DF'''/L=/O='''TestNet Ltd'''/CN='''Autoridade Certificadora da TestNet Ltd'''/emailAddress='''[email protected]'''"
-) Para verificar o certificado da CA:
+= Criar um Certificado para o Servidor =
+) Criar a chave privada do servidor:
+ openssl genrsa -out server-key.pem 2048
+) Criar uma solicitação de certificado (CSR) para o servidor:
+ openssl req -new -key server-key.pem -out server-csr.pem \
+  -subj "/C='''BR'''/ST='''DF'''/L=/O='''TestNet Ltd'''/CN='''server01.test.net'''/emailAddress='''[email protected]'''"
- openssl x509 -in ca-cert.pem -text -noout
-= Disponibilizando a CA =
+Você precisará fornecer informações semelhantes ao preencher o certificado da CA.
-Agora que criamos a CA, vamos disponibilizar ele para importar no Navegador, ou para ser importado na Trust Store.
+) Assinar o CSR do servidor com a CA para obter o certificado do servidor:
-O certificado raiz é o arquivo
+ openssl x509 -req -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial
+   -out server-cert.pem -days 730
-* Linux: '''/etc/pki/CA/cacert.pem'''
+Será criado 2 arquivos:
-* Windows: '''C:\Program Files\OpenSSL-Win64\bin\demoCA\cacert.pem'''
-Renomeie-o para ''ca-company.crt'' e coloque em um site interno para download ou distribua via Police no MS Windows (GPO).
+* server-csr.pem: Arquivo de requisição (CSR).
+* server-key.pem: Chave privada assinada
+* server-cert.pem: Chave pública assinada
-= Criando um par de Chaves=
+Você pode apagar o arquivo server-csr.pem, pois ele não será mais utilizado.
-Execute o comando no Windows
+= Verificar os certificados =
- perl CA.pl -newreq
+) Para verificar o certificado da CA:
-ou no Linux
+ openssl x509 -in ca-cert.pem -text -noout
- ./CA -newreq
+) Para verificar o certificado da CA:
+ openssl x509 -in server-cert.pem -text -noout
-Informe
+= Dicas =
- Country Name (2 letter code) [BR]: '''<ENTER>'''
+== Gerar o certificado da CA usando a chave privada protegida por senha ==
- State or Province Name (full name) [DF]:'''<ENTER>'''
- Locality Name (eg, city) [Brasilia]:'''<ENTER>'''
- Organization Name (eg, company) [Test Net Ltd]: '''<ENTER>'''
- Organizational Unit Name (eg, section) [Ditec]:'''<ENTER>'''
- Common Name (eg, YOUR name) []:'''www.test.net'''
- Email Address [[email protected]]:'''<ENTER>'''
-Será criado 2 arquivos:
+Execute o comando
-* newreq.pem: Arquivo de requisição (CSR)
+  openssl genrsa -aes256 -out ca-key.pem 4096
-* newkey.pem: Chave privada assinada
+Isso criará uma chave privada encriptada com o algoritmo AES256 e um tamanho de 4096 bits para a sua CA. Ao executar esse comando, você será solicitado a inserir uma senha para proteger a chave privada.
-Assine a chave criada [[OpenSSL: Assinando um CSR com a nossa CA]]
 = Ver também =