Perguntas[ssl-certificate](server)

Estou configurando uma CA com OCSP e estou recebendo erros de validação.

Configuração bem simples

• CA publica CRL na pasta C: padrão
• CA publica URL OCSP no campo AIA
• A configuração de revogação do OCSP está funcionando (marca de seleção verde) com o certificado OCSP (ainda válido)
• O servidor Web IIS está sendo executado com o diretório OCSP
• DNS aponta para o IP correto com diretório

Revoguei alguns certificados de teste que fiz ao longo do caminho com as seguintes etapas:

• Publicou manualmente a pasta de revogação
• definir um GPO que incluísse o certificado raiz com o URL do OCSP para verificar a validade mesmo quando o certificado original não o incluísse no campo AIA

Ao testar a validade, encontrei alguns erros.

Erro 1:

Na imagem acima, a CRL confirmou que o certificado expirou e não é válido.

No entanto, ainda o uso apenas porque ESPERO que dê um erro. Não dá. Consigo acessar o site sem problemas ou aviso de que é inválido.

Erro 2:

O GPO orientaria os dispositivos clientes a verificar a validação do OCSP em certificados que não o incluíam originalmente. Surpreendentemente, meu OCSP nem está funcionando. Eu costumava certutil -urlconfirmar e recebia o status: sem sucesso. Não consigo encontrar uma lista de possíveis status em lugar nenhum, mas presumo que deveria ver "revogado" ou "expirado", se houver.

Criei o CA da seguinte forma:

1. Certificado autoassinado com uma chave privada, root-ca.cer
2. Outro certificado, assinado com root-ca.cer, seu nome é admin-ca.cer
3. Certificado de cliente assinado com admin-ca.cer, seu nome é client.cer

openssl verifyadmin-ca.cer contra root-ca.cer passa, mas client.cer contra admin-ca.cer falha no nível 1.

Acho que se eu adicionar root-ca.cer a certificados confiáveis ​​no meu SO, isso resolveria o problema, mas se possível, eu gostaria de evitar isso. Em vez disso, posso construir um client.cerde tal forma que inclua toda a cadeia até root-ca.cer?

Se isso for importante, o propósito de client.ceré ser usado como certificado de cliente ao conectar por SSL ao meu servidor. Um host virtual usa root-ca.cercomo CA, outro admin-ca.cer- e esse não funciona.

Estamos recebendo notificações de duas CAs expirando no pfSense - mostradas abaixo em amarelo:

Estes são:

• Acmecert: O=(STAGING) Internet Security Research Group, CN=(STAGING) Pretend Pear X1, C=US
• Acmecert: O=Internet Security Research Group, CN=ISRG Root X1, C=US

Encontrei um tópico no fórum do Netgate de muito recentemente, que parece similar. Ele fala sobre X1CA's, e os dois que estão expirando para nós também são X1's.

Não há botão Renovar para essas CAs.

É seguro excluir essas duas CAs?

Depois, como podemos testar se isso não causou nenhum problema?

Estamos recebendo notificações diárias:

Criei um site e usei o certbot para criar certificados SSL.

A página carrega bem em todos os sistemas que testei, exceto no Chrome do meu telefone.

No Chrome, no telefone (Android), recebo NET::ERR_CERT_AUTHORITY_INVALID

No FF no telefone ele carrega bem. No Chrome ou FF no meu tablet ele carrega bem. No Chrome ou FF no laptop e/ou no desktop ele carrega bem.

O que há de errado com o Chrome?

Quando tento fazer login no meu cliente de e-mail, recebo isto:

This certificate belongs to:
   mail.ssk.pm

This certificate was issued by:
   R3
   Let's Encrypt
   US

This certificate is valid
   from Thu, 21 Mar 2024 18:03:06 UTC
     to Wed, 19 Jun 2024 18:03:05 UTC

SHA1 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523 9306 DE4A
SHA256 Fingerprint: 2BAC DF4D 2E6A BC4B BDBB 9746 6A39 D523
                    9306 DE4A87A9 CAC5 AAD1 6E8A 8796 9232 D4B6 4EAB 97EF ECEF 437D 1BFC 4369 96AE 6FF4 C503

WARNING: Server certificate has expired

Mas quando eu certbox --nginx renove eu recebo isto:

certbot --nginx renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/mail.ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/ssk.pm.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Certificate not yet due for renewal

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificates are not due for renewal yet:
  /etc/letsencrypt/live/mail.ssk.pm/fullchain.pem expires on 2024-08-19 (skipped)
  /etc/letsencrypt/live/ssk.pm/fullchain.pem expires on 2024-08-18 (skipped)
No renewals were attempted.

Estou faltando alguma coisa aqui?

Quais são os nomes dos assuntos/nomes alternativos dos assuntos e como eles diferem entre si?

Especialmente o modelo abaixo da guia "nome do assunto". O que isso muda na solicitação normal de certificado, além de haver uma etapa adicional para colocar informações na guia do assunto durante a inscrição para um certificado.

Qual é a função dos nomes de assuntos (SN)/nomes alternativos de assuntos (SAN) na infraestrutura de chave pública (PKI) da Microsoft? Como as SANs são usadas e quais cenários se beneficiam com sua inclusão em certificados?

Encontrei este artigo e é isso que usei para gerar o certificado CA:

openssl genrsa -des3 -out myCA.key 2048
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 1825 -out myCA.pem

Eu o chamo de "MyCert"

E usei-o para assinar o certificado que gerei para localhost (foi a saída do ChatGPT)

$ openssl req -newkey rsa:2048 -nodes -keyout localhost.key -out localhost.csr
$ openssl x509 -req -in localhost.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out localhost.crt -days 365 -sha256

Adicionei o certificado CA ao sistema (eu uso o Fedora):

sudo cp myCA.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Reiniciei o servidor e quando acessohttps://localhost

Recebi este erro:

NET::ERR_CERT_COMMON_NAME_INVALID
Subject: localhost
Issuer: MyCert

O que eu fiz de errado? Eu uso campos padrão para o certificado CA:

CN = MyCert
O = Default Company Ltd
L = Default City
C = pl

e o certificado localhost possuem esses campos:

CN = localhost
C = pl

Como criar corretamente o certificado CA e assinar o certificado para Apache no Fedora?

Estou tentando entender como o TLS é encerrado entre um cliente e uma origem quando um CDN está envolvido.

Eu acho que é bastante simples quando um cliente se conecta diretamente a uma origem, um handshake pode ser estabelecido para qualquer número de certificados/membros SAN associados ao servidor de origem.

Mas e se eu precisar do CDN? É impossível usar um CDN de terceiros na frente da minha origem sem carregar esse mesmo certificado de origem e configurá-lo para ser apresentado a partir do CDN?

Eu sei que diferentes CDNs lidam com as coisas de maneira diferente. Por exemplo, parece que o Google CDN é capaz de encerrar adequadamente o TLS com certificados aplicados a um LB GCP upstream. Isso é algo especial que somente a GCDN é capaz devido à sua estreita integração no GCP?

Idealmente, eu gostaria de poder hospedar meus próprios certificados em minha própria origem e apenas ter o TCP pass-thru do CDN diretamente para a origem, para que o cliente e o servidor de origem possam ter certificação e criptografia de ponta a ponta sem nenhuma configuração adicional no CDN enquanto o CDN ainda faz a parte do cache. Mas parece que isso simplesmente não é possível?

client => cdn => origin(cert)

Abaixo estão os resultados do teste de SSL em https://www.ssllabs.com/ssltest/index.html

Parece que temos dois certificados. Estou lendo certo? O serviço SSL (CloudFlare.com) que está usando o certificado aponta para um certificado específico?

Em primeiro lugar, pesquisei no Google sobre o openssl, como este , e também tentei dezenas de vezes criar um certificado autoassinado válido.
Mas acho que perguntar sobre serverfault seria muito mais rápido.

Minha plataforma é um computador Windows 10 com o openssl 3.2.0 light edition instalado. A infraestrutura não possui domínio, apenas um ambiente de testes.

O objetivo é criar um certificado autoassinado para hosts do Windows e protocolo https de gerenciamento remoto do Windows para utilização e eu sabia que o Windows PowerShell "New-SelfSignedCertificate" pode resolver minha demanda diretamente, mas não é isso que eu quero.

Openssl é a ferramenta que preciso. Quero usar o openssl para gerar um certificado autoassinado (de 0) igual ao que "New-SelfSignedCertificate" pode gerar.

Encontrei problemas ao configurar o "winrm" após importar o certificado (gerado a partir do openssl). As mensagens de erro são:

settings Error number:  -2144108306 0x803380EE
The WinRM client cannot process the request. 
The Enhanced Key Usage (EKU) field of the certificate is not set to "Server Authentication". 
Retry the request with a certificate that has the correct EKU.  

Aqui estão os comandos que utilizo para criar o certificado autoassinado:
#Generate a private key
openssl genpkey -algorithm RSA -out private-key.pem

#Gerar uma solicitação de assinatura de certificado (CSR)
openssl req -new -key private-key.pem -out certificatesigningrequest.pem -days 3650 -subj "/C=US/ST=Colorado/L=aspen/CN=10.0.2.4/OU=myhostgroup/O=testinfra" -addext "keyUsage=digitalSignature,keyEncipherment" -addext "extendedKeyUsage=serverAuth,clientAuth"

#Gerar um certificado autoassinado
openssl x509 -req -in certificatesigningrequest.pem -signkey private-key.pem -out self-signed.crt

#combine a chave privada e o certificado em um arquivo PKCS#12 (PFX/P12)
openssl pkcs12 -export -in self-signed.crt -inkey private-key.pem -out certificate.pfx -password pass:P@ssw0rd

Ao executar as linhas de comando listadas acima, todas funcionaram sem mensagens de erro, porém, o "keyUsage" e o "extendedKeyUsage" nunca podem ser inseridos e essas extensões nunca aparecem no certificado. O resultado são mensagens de erro ao tentar configurar o winrm com https para utilizar este certificado, conforme mostrado acima.

Quero solucionar os problemas um por um.
Alguém pode fornecer algumas dicas sobre como lidar com as extensões do certificado usando o openssl 3?