Início / server / Perguntas / 1156946
Accepted
jcubic
Asked: 2024-03-27 04:41:42 +0800 CST

Como criar corretamente o certificado CA e assinar o certificado SSL/TLS para usar no Apache para localhost?

  • 772

Encontrei este artigo e é isso que usei para gerar o certificado CA:

openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

Eu o chamo de "MyCert"

E usei-o para assinar o certificado que gerei para localhost (foi a saída do ChatGPT)

$ openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr
$ openssl x509 -req -in localhost.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256

Adicionei o certificado CA ao sistema (eu uso o Fedora):

sudo cp myCA.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Reiniciei o servidor e quando acessohttps://localhost

Recebi este erro:

NET::ERR_CERT_COMMON_NAME_INVALID
Subject: localhost
Issuer: MyCert

O que eu fiz de errado? Eu uso campos padrão para o certificado CA:

CN = MyCert
O = Default Company Ltd
L = Default City
C = pl

e o certificado localhost possuem esses campos:

CN = localhost
C = pl

Como criar corretamente o certificado CA e assinar o certificado para Apache no Fedora?

ssl-certificate

1 respostas

  1. Best Answer

    Isso funcionou para mim:

    1. Gerar certificado CA.
    openssl req -x509 -new -nodes -newkey rsa:2048 -keyout myCA.key \
  -sha256 -days 1825 -out myCA.crt -subj /CN='localhost ca'
    1. Gere a solicitação de certificado do servidor. Observe que, além de definir, CN=localhosttambém estamos definindo subjectAlternativeName for localhost, porque:

    A RFC 2818, publicada em maio de 2000, descontinua o uso do campo Common Name (CN) em certificados HTTPS para verificação de nome de entidade. Em vez disso, recomenda o uso da extensão “Nome alternativo do assunto” (SAN) do tipo “nome DNS”. referência

    (Observe que a descontinuação do commonName para identificar hosts ocorreu há 24 anos .)

    openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr \
  -subj /CN=localhost -addext subjectAltName=DNS:localhost
    1. Assine a solicitação de certificado para criar um certificado. Observe o uso de -copy_extensions copypara copiarmos a subjectAlternativeNamesolicitação para o certificado.
    openssl x509 -req -in localhost.csr -copy_extensions copy \
  -CA myCA.crt -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256
    1. Adicione o certificado CA ao armazenamento confiável.
    sudo cp myCA.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

    Estou testando o certificado configurando um servidor simples habilitado para TLS usando caddy . Eu começo com isso Caddyfile:

    {
    http_port 8080
}
:8443 {
    respond "this is a test"
    tls localhost.crt localhost.key
}

    E então:

    caddy run

    E agora podemos ver que curlconfia no certificado:

    $ curl https://localhost:8443
this is a test

    Se eu remover o certificado CA do armazenamento confiável:

    sudo rm  /etc/pki/ca-trust/source/anchors/myCA.crt
sudo update-ca-trust

    Então veremos que curlfalha:

    $ curl https://localhost:8443
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
    • 4

relate perguntas