commit caf6f4d568338d84e0bc9ebb88b18a42fa1e71ce Author: Onei de Barros Junior Date: Tue Mar 10 18:09:50 2026 +0000 Adicionar README.md diff --git a/README.md b/README.md new file mode 100644 index 0000000..ad67d7a --- /dev/null +++ b/README.md @@ -0,0 +1,65 @@ +# Uso do "XCA" (Windows 11) + +O XCA é uma escolha excelente para quem quer o poder do OpenSSL sem a "tortura" da linha de comando para gerenciar PKI. Ele é muito visual e organiza tudo em abas (Certificates, Certificate Signing Requests e Private Keys). + +Como você vai instalar no Windows 11, aqui estão as 3 dicas de ouro para não ter erro na hora de exportar para o seu NAS: + +1. A Base de Dados: Ao abrir o XCA, a primeira coisa a fazer é File > New DataBase. Salve esse arquivo .xdb em um local seguro e coloque uma senha. Ele guardará todas as suas chaves privadas. + +2. Exportação da Chave Privada: Quando terminar de criar o certificado do NAS, na hora de exportar a Private Key, escolha o formato "PEM (.key)" e certifique-se de que a opção de criptografar a chave (passphrase) esteja desmarcada ou que você exporte como "unencrypted". Isso evita o erro de "bad decrypt" que você teve com o MikroTik. + +3. Extensões (Template): Ao criar o certificado para o NAS, use o template "[default] HTTPS Server". Não esqueça de ir na aba "Subject Alternative Name" e adicionar o IP:192.168.x.x ou o DNS:nome.local. Sem isso, o Chrome no Windows 11 continuará reclamando. + +O XCA facilita muito a visualização da hierarquia: você verá o certificado do NAS "pendurado" logo abaixo da sua AC Raiz. + +--- + +## Configuração Inicial do XCA assim que se instalar + +Ocorre um aviso de incompatibilidade no início porque o XCA, por padrão, tenta manter compatibilidade com sistemas muito antigos, mas o Windows 11 e as versões modernas do OpenSSL já consideram o SHA1 e o 3DES (Triple DES) obsoletos e vulneráveis. + +Como você está começando uma infraestrutura nova, o ideal é não ignorar e configurar para os padrões modernos. + +O que fazer no XCA: + +1. Vá em File > Options (ou Arquivo > Opções). + +2. Procure a aba ou seção PKCS#12 / PFX. + +3. Altere os algoritmos para: +Encryption (Criptografia): AES-256-CBC ou AES-256-GCM. +MAC Algorithm (Hash): SHA256. + +Isso garantirá que, se você precisar exportar um arquivo .p12 no futuro, ele será aceito por sistemas modernos sem alertas de segurança. + +### Por que isso é importante? + +Navegadores modernos e sistemas operacionais atualizados (como o seu Windows 11) estão começando a bloquear a importação de certificados que utilizam "Legacy Encryption". Se você mantiver o padrão antigo (PBE-SHA1-3DES), poderá enfrentar erros de importação semelhantes aos que teve com o MikroTik. + +Dica para a criação da AC: + +- Ao criar sua AC Raiz agora no XCA, na aba "Signature Algorithm", certifique-se de selecionar SHA256 ou superior. Evite o SHA1 a todo custo, pois ele é o motivo principal de muitos certificados serem marcados como "Não Seguros" mesmo estando dentro da validade. + +--- + +# 1. Criando a AC Raiz (O seu "Cartório") + +1. Vá na aba Certificates e clique em New Certificate. + +2. Na aba Source: +- Selecione -- [default] CA -- no campo Template. +- Clique em Apply all. + +3. Na aba Subject: +- Internal Name: Minha_CA_Raiz +- Common Name: Minha Rede Local CA (Este nome aparecerá na lista de certificados do Windows). +- Clique em Generate a new key -> Escolha RSA 2048 ou 4096 e clique em Create. + +4. Na aba Extensions: +- Type: Deve estar como Certification Authority. +- Validity: Recomendo colocar 10 anos (3650 dias), para você não ter que reinstalar em todos os PCs tão cedo. + +5. Na aba Key Usage: +-Certifique-se de que Certificate Sign e CRL Sign estão marcados. +-Clique em OK. Sua CA está pronta! +