Perguntas[ssl-certificate](server)

Estamos recebendo notificações de duas CAs expirando no pfSense - mostradas abaixo em amarelo:

Estes são:

• Acmecert: O=(STAGING) Internet Security Research Group, CN=(STAGING) Pretend Pear X1, C=US
• Acmecert: O=Internet Security Research Group, CN=ISRG Root X1, C=US

Encontrei um tópico no fórum do Netgate de muito recentemente, que parece similar. Ele fala sobre X1CA's, e os dois que estão expirando para nós também são X1's.

Não há botão Renovar para essas CAs.

É seguro excluir essas duas CAs?

Depois, como podemos testar se isso não causou nenhum problema?

Estamos recebendo notificações diárias:

Criei um site e usei o certbot para criar certificados SSL.

A página carrega bem em todos os sistemas que testei, exceto no Chrome do meu telefone.

No Chrome, no telefone (Android), recebo NET::ERR_CERT_AUTHORITY_INVALID

No FF no telefone ele carrega bem. No Chrome ou FF no meu tablet ele carrega bem. No Chrome ou FF no laptop e/ou no desktop ele carrega bem.

O que há de errado com o Chrome?

Quando tento fazer login no meu cliente de e-mail, recebo isto:

This certificate belongs to:
   mail.ssk.pm

This certificate was issued by:
   R3
   Let's Encrypt
   US

This certificate is valid
   from Thu, 21 Mar 2024 18:03:06 UTC
     to Wed, 19 Jun 2024 18:03:05 UTC

SHA1 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523 9306 DE4A
SHA256 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523
                    9306 DE4A87A9 CAC5 AAD1 6E8A 8796 9232 D4B6 4EAB 97EF ECEF 437D 1BFC 4369 96AE 6FF4 C503

WARNING: Server certificate has expired

Mas quando eu certbox --nginx renove eu recebo isto:

certbot --nginx renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/mail.ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificates are not due for renewal yet:
  /etc/letsencrypt/live/mail.ssk.pm/fullchain.pem expires on 2024-08-19 (skipped)
  /etc/letsencrypt/live/ssk.pm/fullchain.pem expires on 2024-08-18 (skipped)
No renewals were attempted.

Estou faltando alguma coisa aqui?

Quais são os nomes dos assuntos/nomes alternativos dos assuntos e como eles diferem entre si?

Especialmente o modelo abaixo da guia "nome do assunto". O que isso muda na solicitação normal de certificado, além de haver uma etapa adicional para colocar informações na guia do assunto durante a inscrição para um certificado.

Qual é a função dos nomes de assuntos (SN)/nomes alternativos de assuntos (SAN) na infraestrutura de chave pública (PKI) da Microsoft? Como as SANs são usadas e quais cenários se beneficiam com sua inclusão em certificados?

Encontrei este artigo e é isso que usei para gerar o certificado CA:

openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

Eu o chamo de "MyCert"

E usei-o para assinar o certificado que gerei para localhost (foi a saída do ChatGPT)

$ openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr
$ openssl x509 -req -in localhost.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256

Adicionei o certificado CA ao sistema (eu uso o Fedora):

sudo cp myCA.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Reiniciei o servidor e quando acessohttps://localhost

Recebi este erro:

NET::ERR_CERT_COMMON_NAME_INVALID
Subject: localhost
Issuer: MyCert

O que eu fiz de errado? Eu uso campos padrão para o certificado CA:

CN = MyCert
O = Default Company Ltd
L = Default City
C = pl

e o certificado localhost possuem esses campos:

CN = localhost
C = pl

Como criar corretamente o certificado CA e assinar o certificado para Apache no Fedora?

Estou tentando entender como o TLS é encerrado entre um cliente e uma origem quando um CDN está envolvido.

Eu acho que é bastante simples quando um cliente se conecta diretamente a uma origem, um handshake pode ser estabelecido para qualquer número de certificados/membros SAN associados ao servidor de origem.

Mas e se eu precisar do CDN? É impossível usar um CDN de terceiros na frente da minha origem sem carregar esse mesmo certificado de origem e configurá-lo para ser apresentado a partir do CDN?

Eu sei que diferentes CDNs lidam com as coisas de maneira diferente. Por exemplo, parece que o Google CDN é capaz de encerrar adequadamente o TLS com certificados aplicados a um LB GCP upstream. Isso é algo especial que somente a GCDN é capaz devido à sua estreita integração no GCP?

Idealmente, eu gostaria de poder hospedar meus próprios certificados em minha própria origem e apenas ter o TCP pass-thru do CDN diretamente para a origem, para que o cliente e o servidor de origem possam ter certificação e criptografia de ponta a ponta sem nenhuma configuração adicional no CDN enquanto o CDN ainda faz a parte do cache. Mas parece que isso simplesmente não é possível?

client => cdn => origin(cert)

Abaixo estão os resultados do teste de SSL em https://www.ssllabs.com/ssltest/index.html

Parece que temos dois certificados. Estou lendo certo? O serviço SSL (CloudFlare.com) que está usando o certificado aponta para um certificado específico?

Em primeiro lugar, pesquisei no Google sobre o openssl, como este , e também tentei dezenas de vezes criar um certificado autoassinado válido.
Mas acho que perguntar sobre serverfault seria muito mais rápido.

Minha plataforma é um computador Windows 10 com o openssl 3.2.0 light edition instalado. A infraestrutura não possui domínio, apenas um ambiente de testes.

O objetivo é criar um certificado autoassinado para hosts do Windows e protocolo https de gerenciamento remoto do Windows para utilização e eu sabia que o Windows PowerShell "New-SelfSignedCertificate" pode resolver minha demanda diretamente, mas não é isso que eu quero.

Openssl é a ferramenta que preciso. Quero usar o openssl para gerar um certificado autoassinado (de 0) igual ao que "New-SelfSignedCertificate" pode gerar.

Encontrei problemas ao configurar o "winrm" após importar o certificado (gerado a partir do openssl). As mensagens de erro são:

settings Error number:  -2144108306 0x803380EE
The WinRM client cannot process the request. 
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication". 
Retry the request with a certificate that has the correct EKU.  

Aqui estão os comandos que utilizo para criar o certificado autoassinado:
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem

#Gerar uma solicitação de assinatura de certificado (CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"

#Gerar um certificado autoassinado
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt

#combine a chave privada e o certificado em um arquivo PKCS#12 (PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd

Ao executar as linhas de comando listadas acima, todas funcionaram sem mensagens de erro, porém, o "keyUsage" e o "extendedKeyUsage" nunca podem ser inseridos e essas extensões nunca aparecem no certificado. O resultado são mensagens de erro ao tentar configurar o winrm com https para utilizar este certificado, conforme mostrado acima.

Quero solucionar os problemas um por um.
Alguém pode fornecer algumas dicas sobre como lidar com as extensões do certificado usando o openssl 3?

Eu tenho certificado SSL com os arquivos abaixo e não tenho chave privada como CSR gerado com esta chave:

root.crt, servidor.crt, intermediário.crt

Eu quero usar este certificado em uma das minhas vm do servidor Ubuntu 23.04 apache2.

Sua orientação passo a passo é necessária.

Obrigado

Estou usando letsencrypt de duas formas: uma docker stack usando certbot, e outra usando traefik (que faz o gerenciamento de certificados automaticamente, usando lego). Em ambos os casos, há uma configuração para o endereço de e-mail de registro.

Esse endereço de e-mail está armazenado no certificado ou em outro lugar? E alguém (além de letsencypt) pode descobrir esse endereço de e-mail?