Gerar uma cadeia de certificados usando OpenSSL

-

Nesse post vou explicar como criar uma cadeia de certificação utilizando apenas o OpenSSL.

É muito comum em ambientes corporativos que se use Autoridades Certificadoras Privadas (Private CAs) para gerar cadeias de certificados para uso interno, normalmente para proteger com SSL/HTTPS sites privados (domínios *.corp, *.local, *.inet, etc.)

Normalmente para isso usamos um serviço de Private CA, como o Microsoft Active Directory Certificate Services (AD CS).

No entanto, para empresas menores que não queiram usar softwares proprietários com custo de licenciamento e que demandem manutenção e gerenciamento, ou então para pequenos projetos e ambientes de teste, podemos utilizar apenas o OpenSSL para gerar toda uma cadeia certificadora.

O primeiro passo é gerar um certificado raiz (Root CA) composto com um par de chaves pública/privada. 

openssl req -x509 \
      -sha256 -days 10950 \
      -nodes \
      -newkey rsa:2048 \
      -subj "/CN=rootca.exemplo.corp/O=Empresa XPTO/OU=IT/C=BR/L=Sao Paulo" \
      -keyout rootCA.key -out rootCA.crt

O comando acima vai gerar um par de chaves público/privada (rootCA.crt/rootCA.key) com validade de 30 anos. Este será nosso certificado raiz que será utilizado para assinar/emitir todos os demais certificados.

Em seguida vamos gerar um certificado para ser utilizado em um site fictício. O certificado para esse site vai incluir também um wildcard para subdomínios desse site (*.portal-xpto.exemplo.corp). Isso apenas para mostrar as possibilidades de configuração. 

## Gerando a chave privada para o certificado do site
openssl genrsa -out portal-xpto.key 2048

## Gerando o arquivo de configuração que vai ser usado para gerar o CSR do certificado
cat > portal-xpto.csr.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C = BR
ST = Sao Paulo
L = Sao Paulo
O = Grupo Santander
OU = IT
CN = portal-xpto.exemplo.corp
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1=*.portal-xpto.exemplo.corp
EOF

## Gerando o CSR do certificado a partir da configuração
openssl req -new -key devops.key -out portal-xpto.csr -config portal-xpto.csr.conf

## Gerando o arquivo de configuração para o certificado. Será usado pra gerar a chave pública
cat > portal-xpto.cert.conf <<EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names
[ alt_names ]
DNS.1=*.portal-xpto.exemplo.corp
EOF

## Gerando a chave publica do certificado com validade de 10 anos
openssl x509 -req \
  -in portal-xpto.csr \
  -CA rootCA.crt -CAkey rootCA.key \
  -CAcreateserial -out portal-xpto.crt \
  -days 3650 \
  -sha256 -extfile portal-xpto.cert.conf

Após rodar os comandos explicados acima, teremos os arquivos de chave pública e privada (portal-xpto.crt e portal-xpto.key) que poderão ser utilizados no servidor web (Apache, por exemplo).

Esses certificados estão no formato PEM/base64. Para poder utilizar em servidores Windows com IIS, pode efetuar a conversão para o formato PFX usando o procedimento mostrado aqui.

Agora basta apenas importar a chave pública do certificado raiz (rootCA.crt) nos computadores/dispositivos cliente para que os sites apareçam como confiados (certificado válido).

Todos os certificados criados utilizando o mesmo rootCA.crt serão válidos nos clientes que tiverem esse root instalado.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Migrar Replicação do SYSVOL de FRS para DFS

-
Imagem
Com do lançamento do Windows Server 2019, começamos a ter contato com a primeira versão do ADDS (Active Directory Domain Services) que não suporta a execução da replicação do SYSVOL utilizando FRS. Até a versão 2016, havia um aviso de que o FRS estava descontinuado, mas ainda assim era permitido incluir um servidor Domain Controller com Windows Server 2016 em um domínio que ainda usava o FRS. A partir da versão 2019 isso não é mais possível. Quando você tenta incluir um servidor executando o Windows Server 2019 em um domínio em que o SYSVOL está sendo replicado via FRS, será exibida a mensagem de erro abaixo. Verification of replica failed. The specified domain {Domain-Name} is still using the File Replication Service (FRS) to replicate the SYSVOL share. FRS is depreciated. The server being promoted does not support FRS and cannot be promoted as a replica into the specified ...
Leia mais

Listar conexões de rede sem netstat

-
Neste post vou mostrar como visualizar o status das conexões de rede mesmo em situações em que o utilitário netstat não esteja disponível. É relativamente comum, principalmente em ambientes de containers, que você precise fazer um diagnóstico de algum problema de conectividade, mas o sistema onde você precisa conectar não dispõe do netstat nem permite a sua instalação. De uma forma bem simplista, podemos verificar as informações de conexões listando o conteúdo do arquivo "/proc/net/tcp" ou "/proc/net/tcp6", caso esteja utilizando IPv6. O ponto que torna a visualização mais complicada é que as informações nesses arquivos estão em hexadecimal. cat /proc/net/tcp sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode 0: 5120A8C0:862A 21327092:0050 06 00000000:00000000 03:0000060B 00000000 0 0 0 3 0000000000000000 1: 5120A8C0:A302 AE1ED9AC:01BB 02 00000001:00000000 01:00000213 0000000...
Leia mais