maiswebsites-lab/lab-pki
maiswebsites-lab
/
lab-pki
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Adicionar Emissão de Certificado de Servidor utilizando Template no XCA

Onei de Barros Junior 2026-03-11 17:57:16 +00:00
parent 7d457466ed
commit ee540d5360
1 changed files with 193 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

193
Emiss%C3%A3o-de-Certificado-de-Servidor-utilizando-Template-no-XCA.md Normal file

@ -0,0 +1,193 @@
# Emissão de Certificado de Servidor utilizando Template no XCA
Este procedimento descreve como emitir um certificado digital para servidores internos utilizando um **template previamente criado** e a **Autoridade Certificadora raiz do laboratório**.
Este processo permite gerar certificados HTTPS padronizados para serviços internos como NAS, servidores web, repositórios Git e interfaces administrativas.
---
## Pré-requisitos
* Autoridade Certificadora raiz já criada
* Template TLS de servidor previamente configurado
* Banco PKI aberto no XCA
Referência:
```text
Criação de Template de Certificado no XCA
```
---
## Procedimento
### 1. Criar novo certificado
Abrir o XCA.
Ir na aba:
```id="e1"
Certificates
```
Clicar em:
```id="e2"
New Certificate
```
---
### 2. Aba Source
No campo:
```id="e3"
Template for the new certificate
```
Selecionar:
```id="e4"
MWS_TLS_SERVER
```
Clicar em:
```id="e5"
Apply all
```
Este passo é essencial para que todas as configurações do template sejam aplicadas ao novo certificado.
---
### 3. Definir a Autoridade Assinadora
Na seção:
```id="e6"
Signing
```
Selecionar:
```id="e7"
Use this Certificate for signing
```
Escolher a Autoridade Certificadora:
```id="e8"
MWS_CA_Raiz
```
---
### 4. Aba Extensions
Configurar o campo **Subject Alternative Name (SAN)**.
Clicar em:
```id="e9"
Edit
```
Na seção:
```id="e10"
X509v3 Subject Alternative Name
```
Adicionar os atributos desejados.
Exemplo:
```id="e11"
DNS: nas
DNS: nas.localmws
IP: 10.0.4.214
```
A inclusão correta dos SAN é fundamental para validação HTTPS em navegadores modernos.
---
### 5. Aba Subject
Configurar:
```id="e12"
Internal Name
```
Exemplo:
```id="e13"
nas.localmws
```
---
### 6. Gerar chave privada do servidor
Clicar em:
```id="e14"
Generate a new key
```
Configuração recomendada:
```id="e15"
Algorithm: RSA
Key size: 4096 bits
```
Clicar em:
```id="e16"
Create
```
Cada servidor deve possuir sua própria chave privada.
---
### 7. Finalizar emissão
Clicar em:
```id="e17"
OK
```
O certificado será criado e automaticamente assinado pela Autoridade Certificadora raiz.
---
## Validação
Após a criação é possível verificar:
* Issuer = MWS_CA_Raiz
* Basic Constraints = End Entity
* Presença dos SAN configurados
* Certificado listado na aba Certificates
---
## Observações
Cada servidor HTTPS deve possuir:
* certificado próprio
* chave privada própria
* SAN compatível com o hostname utilizado
A reutilização de chaves privadas entre servidores ou uso da chave da CA não é recomendada por motivos de segurança.
Este procedimento deve ser repetido para cada novo serviço HTTPS implantado no laboratório.