diff --git a/1.-Padroniza%C3%A7%C3%A3o-de-nomes-de-certificados.md b/1.-Padroniza%C3%A7%C3%A3o-de-nomes-de-certificados.md new file mode 100644 index 0000000..8c656bc --- /dev/null +++ b/1.-Padroniza%C3%A7%C3%A3o-de-nomes-de-certificados.md @@ -0,0 +1,257 @@ +Ótimo — então vamos transformar isso em algo **bem profissional para o seu repositório técnico**. Vou acrescentar **três partes importantes** que normalmente aparecem em documentações de infraestrutura: **padronização de nomes, política de certificados e diagrama da PKI**. Isso deixa seu material muito mais sólido. 📚🔐 + +--- + +# 1. Padronização de nomes de certificados + +Uma boa PKI começa com **nomenclatura consistente**. Isso facilita manutenção e auditoria. + +## Convenção sugerida para o laboratório + +### Autoridades certificadoras + +```text +MWS_ROOT_CA +MWS_LAB_CA +``` + +Ou com descrição completa: + +```text +MWS Laboratory Root CA +MWS Laboratory Intermediate CA +``` + +--- + +### Certificados de servidores + +Formato recomendado: + +```text +hostname.domain +``` + +Exemplo do seu caso: + +```text +openmediavault.localmws +``` + +Outros exemplos no laboratório: + +```text +git.localmws +router.localmws +proxmox.localmws +nas.localmws +monitor.localmws +``` + +--- + +### Arquivos exportados + +Padronizar também os arquivos facilita automação. + +Exemplo: + +```text +openmediavault.localmws.crt +openmediavault.localmws.key +openmediavault.localmws.pem +``` + +Para a CA: + +```text +mws-root-ca.crt +mws-root-ca.key +``` + +⚠ A **chave privada da CA nunca deve sair da máquina administrativa**. + +--- + +# 2. Política de validade de certificados + +Uma pequena política ajuda muito quando o laboratório cresce. + +## Autoridade certificadora + +```text +Root CA: 10 anos +Intermediate CA: 5 anos +``` + +--- + +## Certificados de servidores + +Recomendação moderna: + +```text +2 anos +``` + +ou mais conservador: + +```text +1 ano +``` + +Isso permite **rotacionar certificados periodicamente**. + +--- + +# 3. Estrutura recomendada da PKI + +Uma PKI organizada normalmente usa três níveis: + +```text +Root CA (offline) + │ + │ +Intermediate CA (online) + │ + │ +Server Certificates +``` + +--- + +# 4. Diagrama da infraestrutura + +Um diagrama simples pode ser incluído no README do repositório. + +```text + MWS ROOT CA + │ + │ + MWS LAB CA + │ + ┌──────────────┼───────────────┐ + │ │ │ +openmediavault git.localmws proxmox.localmws +10.0.4.242 10.0.4.xxx 10.0.4.xxx +``` + +--- + +# 5. Fluxo de emissão de certificados + +Documentar esse fluxo ajuda quem for reproduzir o ambiente. + +### Passo 1 + +Criar chave privada. + +### Passo 2 + +Criar CSR ou certificado diretamente no XCA. + +### Passo 3 + +Assinar com a CA do laboratório. + +### Passo 4 + +Exportar: + +```text +certificado (.crt) +chave privada (.key) +``` + +### Passo 5 + +Instalar no servidor. + +--- + +# 6. Estrutura ideal do repositório Git + +Sugestão para seu projeto: + +```text +lab-pki/ + +README.md + +docs/ + arquitetura-pki.md + criar-ca.md + emitir-certificados.md + instalar-ca-windows.md + configurar-nginx.md + +diagramas/ + pki-lab.png + +exemplos/ + nginx-https.conf + apache-https.conf +``` + +--- + +# 7. Boas práticas de segurança + +Mesmo em laboratório é bom documentar isso. + +### Não armazenar no Git + +Nunca incluir: + +```text +*.key +*.xdb +``` + +Adicionar ao `.gitignore`: + +```text +*.key +*.xdb +*.p12 +``` + +--- + +# 8. Benefícios da infraestrutura + +Após implementar HTTPS com CA própria: + +✔ Navegadores não exibem alerta de segurança +✔ Comunicação criptografada na rede +✔ Estrutura escalável para novos servidores +✔ Documentação reproduzível + +--- + +# 9. Observação sobre ferramentas + +O gerenciamento da PKI neste laboratório é realizado com o software **XCA**, que fornece uma interface gráfica para criação e gerenciamento de certificados e autoridades certificadoras. + +--- + +💡 **Sugestão forte para seu material técnico** + +No seu Git, colocar um **README inicial com título assim:** + +```text +Infraestrutura HTTPS para Laboratórios de Redes +Implementação de PKI interna utilizando XCA +``` + +Isso tem **cara de material de engenharia / infraestrutura profissional**. + +--- + +✅ Se quiser, no próximo passo eu posso montar também: + +1️⃣ **um README.md completo pronto para o Git** +2️⃣ **um diagrama de PKI mais profissional** +3️⃣ **um template de certificado pronto no XCA** (isso acelera muito a emissão de certificados) + +Essas três coisas deixam seu repositório **nível documentação de empresa de infraestrutura**.