O OpenSSL não requer um terminal de administrador.
...It is not clear to me which of these pass phrases and generated files will ever be needed again, and for what purposes.
- A senha CA / ICA é utilizada sempre que se assinam novos certificados, pois a CA / ICA deve sempre ter uma chave criptografada
- Os certificados de servidor nunca devem ter uma chave criptografada, pois exigem intervenção manual para iniciar
- Os certificados de cliente com uma chave criptografada solicitariam a frase secreta sempre que o certificado fosse utilizado.
...Next, the question I ask here is how to create a server authorization certificate for one or more websites in the localhost domain
Isso é realizado por meio de perfis de SAN.
- O openssl.cnf padrão do OpenSSL é muito difícil de ser analisado por alguém que não é familiar, então criei um personalizado, fácil de entender openssl.cnf há alguns anos atrás em meu GitHub
- Linha 164: os perfis da SAN começam
- Linha 260: os perfis V3 começam
- Linha 430: Todos os comandos e informações necessários começam
...Can someone please provide such an algorithm, a list of steps like the list above, for creating and installing a localhost website certificate based on an existing local CA certificate, created as above?
Para manter as coisas saudáveis, vou usar os perfis V3 contidos no meu openssl.cnf vinculado acima
-
Crie diretórios necessários:
mkdir ca\csr certs crl keys
-
Criar arquivos necessários:
echo 00 > crl\crlnumber && type NUL > index && type NUL > rand && echo 00 > serial
-
Crie CA
openssl req -x509 -new -sha512 -days 3650 -newkey rsa:4096 -keyout ca\ca.key.pem -out ca\ca.crt.pem -config .\openssl.cnf -extensions v3_ca
-
Frases secretas da chave da CA: mínimo de 20 caracteres, contendo 2: maiúsculas, minúsculas, números e & símbolos
-
Gerar CSR do certificado de servidor:
openssl req -out ca\csr\server.csr -new -days 3650 -sha512 -newkey rsa:2048 -keyout keys\server.key.pem -config .\openssl.cnf -extensions v3_sophos -nodes
-
Criar e assinar o certificado com a CA:
openssl x509 -req -sha512 -days 3650 -in ca\csr\server.csr -CA ca\ca.crt.pem -CAkey ca\ca.key.pem -CAserial .\serial -out certs\server.crt.pem -extfile .\openssl.cnf -extensions v3_sophos
-
Concatenar CA ao Cert:
type ca/ca.crt.pem >> certs/server.crt.pem
-
Exportar para PKCS12:
openssl pkcs12 -export -out certs\server.p12 -inkey certs\server.key.pem -in certs\server.crt.pem -certfile ca\ca.crt.pem
-
-
Informações adicionais
- Arquivo de índice
- keyUsage & extendedKeyUsage
- Troca de chaves e troca de chaves EC
- Manuais