Como criar certificados CA + 2 *com XCA* - Para autenticação IPSec host a host (sem AD)

Eu encontrei o caminho:

1. Instale o XCA da Windows Store:
   (em 24/11/2023, v2.5.0 usa OpenSSL v3.1.2.1 de agosto de 2023)
   
   
   

2. Prepare um pendrive USB limpo para o banco de dados XCA → Execute o XCA

3. Crie um novo banco de dados no pendrive: Home.xcd
   O banco de dados é protegido por senha, portanto é necessário escolher um para uso futuro
   
   
   

4. Guia: Modelos
   XCA possui quatro modelos padrão para qualquer caso de uso arbitrário e não específico

   1. [default] Empty template
   2. [default] CA
   3. [default] TLS_Client
   4. [default] TLS_Server
      
      

5. Novo modelo tepmlate e alteração → caixa de diálogo Editar modelo XCA
   Para certificados IPSec, gerei três novos modelos

   1. IPSec_CA_Template (herdado de 4.2)
   2. IPSec_Client_Template (herdado de 4.3)
   3. IPSec_Server_Template (herdado de 4.4)
      
      
      

6. Guia: Uso de chave
   Selecione Uso de chave (KU), KU estendido (EKU) e crítico (opcional)
   

   1. AC:

      keyUsage=critical,digitalSignature, keyCertSign, cRLSign
      

   2. Cliente:

      keyUsage=critical,digitalSignature, keyEncipherment
      extendedKeyUsage=critical,clientAuth
      

   3. Servidor:

      keyUsage=critical,digitalSignature, keyEncipherment, keyAgreement
      extendedKeyUsage=critical,serverAuth
      

      
      

7. Guia: Assunto
   
   
   

8. Guia: Netscape
   Desmarcou tudo e excluiu o comentário

Assim que os modelos personalizados estiverem prontos - Este é o ponto de partida para qualquer novo certificado

Criar novo certificado
Eu segui o manual Criando certificados com XCA da Fortinet para a criação dos certificados, mas com os modelos personalizados da seção 5. Como os modelos personalizados contêm todos os dados, incluindo Subjecte Extensions, é necessário clicar Apply Allem vez de Apply Extensionscomo está escrito no manual. Exemplo de certificado de servidor:

[Para certificado Cliente/Servidor. Não para CA]
(2ª coisa após tab Source) A única coisa que não está no modelo é o arquivo X509v3 Subject Alternative Name. Deve ser inserido especificamente com o hostnamee o domainda entidade para quem o certificado é emitido.
Por ser um ambiente habilitado para DHCP, não são assumidos IPs fixos e, em vez disso, hostname.domainé usada uma sintaxe. Consulte o apêndice para obter informações sobre como configurar o domínio local.

Perfis V3 resultantes:
Aqui estão as extensões X509v3 (em comparação com esta referência )

• CA: (A referência também tem: authorityKeyIdentifier)

  basicConstraints=critical,CA:TRUE
  keyUsage=critical,digitalSignature, keyCertSign, cRLSign
  subjectKeyIdentifier=hash
  

• Cliente: (A referência também tem: authorityKeyIdentifier, nonrepudiation(KU))

  subjectAltName=critical,DNS:DESKTOP-KGXWQ2R.home
  extendedKeyUsage=critical,clientAuth
  keyUsage=critical,digitalSignature, keyEncipherment
  subjectKeyIdentifier=hash
  basicConstraints=critical,CA:FALSE
  

• Servidor: (A referência também possui: authorityKeyIdentifier, nonRepudiation(KU))

  subjectAltName=critical,DNS:DESKTOP-24JFXST.home
  extendedKeyUsage=critical,serverAuth
  keyUsage=critical,digitalSignature, keyEncipherment, keyAgreement
  subjectKeyIdentifier=hash
  basicConstraints=critical,CA:FALSE
  

• Com base nos comentários abaixo, authorityKeyIdentifier "geralmente não é obrigatório" e nonRepudiation "não é usado para nenhum protocolo de rede" .

Apêndice: Domínio Local

Para o domínio local hometive que configurar meu roteador (que aceita apenas nesse campo a- ze -caracteres):

Para verificar se o computador está no homedomínio local, abra cmd.exee digite:

ipconfig /all

Isso deve ser visto: