Início / computer / Perguntas / 1855396
Accepted
Christopher
Asked: 2024-09-12 08:30:05 +0800 CST

Criando e configurando um certificado SSL para iniciantes

  • 772

Sou um completo novato na configuração do OpenSSL; localizei os executáveis ​​do OpenSSL no meu computador Windows por meio do git no Windows.

Embora eu não saiba por onde começar a criar um certificado SSL para um site que será acessado e exigirá um login e senha, é aí que o SSL fará sua parte para o cliente, enviando ao cliente o login e a senha, desde que o cliente tenha o certificado SSL para esse site. Caso contrário, se o cliente não tiver o certificado, o site mostrará ao usuário para inserir seu login e senha.

Procurei como instalar e configurar o OpenSSL, mas a maioria dos sites só informa como instalá-lo, o que não requer essa informação. Estou pronto para executar o comando necessário para fazer o que estou perguntando nesta pergunta.

git

1 respostas

  1. Best Answer

    o que devo executar para criar o certificado SSL com OpenSSL

    Eu não recomendaria usar as opensslferramentas CLI para criação de certificados. Use Easy-RSA ou XCA ou algo que já tenha bons modelos de certificado. (O Windows Server tem um recurso de Autoridade de Certificação integrado ao AD.) Você pode usar openssl capara isso (há tutoriais por aí), mas você estaria quase construindo os certificados do zero, e isso é um pouco demais para explicar no primeiro dia, considerando que existem alternativas.

    As etapas gerais são:

    1. Crie um certificado CA (autoassinado).
    2. Copie o certificado da CA para o seu servidor web ( sem chave privada) e configure o servidor web para confiar nele para autenticação de "certificado de cliente".
    3. Use esse certificado CA para assinar os certificados de cliente SSL de cada usuário.
    4. Copie os certificados do usuário ( com chave privada) para os PCs dos usuários e instale-os nos navegadores da web.

    Note que os certificados SSL 'cliente' usam um modelo ligeiramente diferente dos certificados 'servidor'. Há muita sobreposição, é claro, e muitos certificados públicos 'servidor' são, na verdade, emitidos a partir de um modelo cliente/servidor duplo, mas você ainda deve considerá-los principalmente distintos. Os certificados cliente podem, na verdade, ser um pouco mais simples – por exemplo, normalmente você não precisa de subjectAltName.

    quando esses arquivos forem criados, desses arquivos criados o que devo alterar para informar o login e a senha do site que o certificado SSL será utilizado

    Isso seria tratado pelo seu servidor web. Procure por "certificado de cliente" ou, às vezes, "mTLS".

    • Apache httpd: SSLVerifyClienteSSLCACertificateFile
    • Nginx: ssl_verify_clientessl_client_certificate

    Note que o certificado não preencherá automaticamente nenhum formulário. Em vez disso, o próprio webapp precisa procurar detalhes do certificado em cabeçalhos do servidor web (por exemplo, $_SERVER["SSL_something"]em PHP) e efetuar login automaticamente no usuário de acordo com o CN do certificado.

    • 0

relate perguntas