maiswebsites-lab/lab-pki
maiswebsites-lab
/
lab-pki
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Page: 4 - Criação da Autoridade Certificadora (AC Raiz) no XCA
Pages
1 - Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria 2 - Padronização de nomes de certificados 3 - Criação de Template de Certificado no XCA 4 - Criação da Autoridade Certificadora (AC Raiz) no XCA 5 - Emissão de Certificado de Servidor utilizando Template no XCA 6 - Exportação de Certificados e Chaves Privadas no XCA 7 - Instalação do Certificado da Autoridade Certificadora no Windows 11 8 - Instalação de Certificado HTTPS em Servidores 9 - Observação sobre Interfaces Gráficas de Administração TLS APÊNDICE 1º - Arquitetura PKI do Laboratório APÊNDICE 2º - Fluxo de Emissão de Certificados APÊNDICE 3º - Fluxo de Emissão e Implantação de Certificados APÊNDICE 4º - Definição do Campo Common Name (CN) em Certificados Digitais
1 4 - Criação da Autoridade Certificadora (AC Raiz) no XCA
Onei de Barros Junior edited this page 2026-03-12 13:53:01 +00:00
Table of Contents

Criação da Autoridade Certificadora (AC Raiz) no XCA

Este procedimento descreve como criar uma Autoridade Certificadora (CA Root) utilizando o software XCA para uso em ambientes de laboratório e redes internas.

A CA será responsável por assinar certificados de servidores HTTPS, permitindo que os navegadores confiem automaticamente nesses serviços após a instalação do certificado da CA nas estações clientes.

Objetivo

Criar uma Autoridade Certificadora raiz para emissão de certificados digitais internos.

Procedimento

1. Criar novo certificado

Abrir o XCA.

Ir na aba:

Certificates

Clicar em:

New Certificate

2. Aba Source

No campo:

Template

Selecionar:

-- [default] CA --

Clicar em:

Apply all

3. Aba Subject

Preencher os campos conforme padrão do laboratório.

Internal Name:
MWS_CA_Raiz

Distinguished Name:
C=BR
ST=SP
L=Sorocaba
O=MAISWEBSITES

Common Name:
MWS Rede Local CA

Este nome será exibido posteriormente na lista de autoridades confiáveis do Windows.

4. Gerar a chave privada da CA

Ainda na aba Subject, clicar em:

Generate a new key

Selecionar:

Algorithm: RSA
Key size: 4096 bits

Clicar em:

Create

5. Aba Extensions

Verificar que o campo:

Type

está configurado como:

Certification Authority

6. Definir validade

Na seção de validade definir:

3650 dias (10 anos)

Este período está em conformidade com a política definida no documento:

Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria

7. Aba Key Usage

Certificar que as seguintes opções estão marcadas:

Certificate Sign
CRL Sign

Estas permissões permitem que a CA emita certificados e listas de revogação.

8. Finalizar criação

Clicar em:

OK

A Autoridade Certificadora raiz estará criada e pronta para uso.

Validação

Após a criação, o certificado da CA deverá aparecer na lista de certificados do XCA.

É possível visualizar seus detalhes verificando:

  • Basic Constraints = Certification Authority
  • Key Usage contendo Certificate Sign
  • Certificado marcado como self-signed

Observações

A chave privada da CA é extremamente sensível e deve ser protegida.

Recomenda-se:

  • realizar backup seguro do arquivo .xdb
  • evitar armazenamento em repositórios Git
  • utilizar senha forte para proteção do banco do XCA

A perda da chave privada da CA implica na necessidade de recriar toda a infraestrutura PKI.