Estou tentando implementar a autenticação de certificado mútuo, tenho que ser a CA e o servidor ao mesmo tempo, gerar certificados e assiná-los para os usuários. e estou seguindo este tutorial que é muito simples Comparando com os artigos complicados na web, os passos são:
The process for creating your own certificate authority is pretty straight forward:
- Create a private key
- Self-sign
- Install root CA on your various workstations // ????
Once you do that, every device that you manage via HTTPS just needs to have its own certificate created with the following steps:
- Create CSR for device
- Sign CSR with root CA key /// THIS STEP
Crie a chave raiz:
openssl genrsa -out rootCA.key 2048
autografe este certificado.
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
Crie um certificado (feito uma vez por dispositivo):
openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
openssl x509 -req -in device.csr -CA root.pem -CAkey root.key -CAcreateserial -out device.crt -days 500
O último comando está me dando este erro:
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd/CN=192.168.1.108
Error opening CA Certificate root.pem
3078969068:error:02001002:system library:fopen:No such file or directory:bss_file.c:355:fopen('root.pem','r')
3078969068:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:357:
unable to load certificate
O root.pem existe na mesma pasta porque não está sendo visto?
Além disso, os dois primeiros comandos me deram dois arquivos, root.key e root.pem :
não há arquivo crt para fornecer ao navegador.
O que há de errado?
Verifique o nome do seu certificado. É inconsistente ( root.pem em um comando, rootCA.pem em outro).
Você pode instalar o arquivo root.pem em seus hosts clientes, conforme indicado no artigo, é o seu certificado CA. PEM é um formato para certificado, outros existem. .crt é uma extensão genérica. Você pode renomear seu certificado de root.pem para root.crt , se desejar.