Em primeiro lugar, pesquisei no Google sobre o openssl, como este , e também tentei dezenas de vezes criar um certificado autoassinado válido.
Mas acho que perguntar sobre serverfault seria muito mais rápido.
Minha plataforma é um computador Windows 10 com o openssl 3.2.0 light edition instalado. A infraestrutura não possui domínio, apenas um ambiente de testes.
O objetivo é criar um certificado autoassinado para hosts do Windows e protocolo https de gerenciamento remoto do Windows para utilização e eu sabia que o Windows PowerShell "New-SelfSignedCertificate" pode resolver minha demanda diretamente, mas não é isso que eu quero.
Openssl é a ferramenta que preciso. Quero usar o openssl para gerar um certificado autoassinado (de 0) igual ao que "New-SelfSignedCertificate" pode gerar.
Encontrei problemas ao configurar o "winrm" após importar o certificado (gerado a partir do openssl). As mensagens de erro são:
settings Error number: -2144108306 0x803380EE
The WinRM client cannot process the request.
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication".
Retry the request with a certificate that has the correct EKU.
Aqui estão os comandos que utilizo para criar o certificado autoassinado:
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem
#Gerar uma solicitação de assinatura de certificado (CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"
#Gerar um certificado autoassinado
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt
#combine a chave privada e o certificado em um arquivo PKCS#12 (PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd
Ao executar as linhas de comando listadas acima, todas funcionaram sem mensagens de erro, porém, o "keyUsage" e o "extendedKeyUsage" nunca podem ser inseridos e essas extensões nunca aparecem no certificado. O resultado são mensagens de erro ao tentar configurar o winrm com https para utilizar este certificado, conforme mostrado acima.
Quero solucionar os problemas um por um.
Alguém pode fornecer algumas dicas sobre como lidar com as extensões do certificado usando o openssl 3?
O
openssl x509 -reqsem-copy_extensionsnão copia as extensões do CSR, então você teria que adicionar, por exemplo,-copy_extensions=copyall.Além disso, você especifica o
-days 3650comando errado; do qual também se queixa.Tente alterar seu fluxo de trabalho assim:
Gere uma chave privada (como está):
Gere uma solicitação de assinatura de certificado (CSR):
(Movido
-days 3650para o próximo comando.)Gere um certificado autoassinado:
Agora você pode testar
openssl x509 -in self-signed.crt -text -nooutse ele possui as extensões:Combine a chave privada e o certificado em um arquivo PKCS#12 (PFX/P12) (como está):