226 lines
3.1 KiB
Markdown
226 lines
3.1 KiB
Markdown
# Criação de Template de Certificado no XCA
|
|
|
|
Este documento descreve como criar um **template de certificado TLS para servidores** utilizando o software XCA.
|
|
|
|
O uso de templates permite padronizar a emissão de certificados e acelerar o processo de geração para novos servidores no laboratório.
|
|
|
|
---
|
|
|
|
# Objetivo
|
|
|
|
Criar um template reutilizável para emissão de certificados TLS utilizados em servidores internos.
|
|
|
|
Exemplos de servidores:
|
|
|
|
```
|
|
openmediavault.localmws
|
|
git.localmws
|
|
proxmox.localmws
|
|
router.localmws
|
|
```
|
|
|
|
---
|
|
|
|
# Acesso ao menu de Templates
|
|
|
|
Abrir o XCA e acessar:
|
|
|
|
```
|
|
Certificates → Templates → New Template
|
|
```
|
|
|
|
Definir um nome para o template.
|
|
|
|
Exemplo:
|
|
|
|
```
|
|
MWS_TLS_SERVER
|
|
```
|
|
|
|
---
|
|
|
|
# Configuração do Template
|
|
|
|
## Aba: Subject
|
|
|
|
Preencher os campos padrão da organização.
|
|
|
|
| Campo | Valor |
|
|
| ------------ | ------------------ |
|
|
| Country | BR |
|
|
| Organization | MaisWebsites Lab |
|
|
| Common Name | (deixar em branco) |
|
|
|
|
O campo **Common Name** será preenchido no momento da emissão do certificado.
|
|
|
|
Exemplo:
|
|
|
|
```
|
|
openmediavault.localmws
|
|
```
|
|
|
|
---
|
|
|
|
# Aba: Extensions
|
|
|
|
Configurar as extensões necessárias para certificados TLS de servidor.
|
|
|
|
## Basic Constraints
|
|
|
|
```
|
|
CA: FALSE
|
|
```
|
|
|
|
---
|
|
|
|
## Key Usage
|
|
|
|
Selecionar:
|
|
|
|
```
|
|
Digital Signature
|
|
Key Encipherment
|
|
```
|
|
|
|
---
|
|
|
|
## Extended Key Usage
|
|
|
|
Selecionar:
|
|
|
|
```
|
|
TLS Web Server Authentication
|
|
```
|
|
|
|
Opcionalmente pode-se incluir também:
|
|
|
|
```
|
|
TLS Web Client Authentication
|
|
```
|
|
|
|
---
|
|
|
|
# Subject Alternative Name (SAN)
|
|
|
|
Navegadores modernos exigem o uso de **Subject Alternative Name (SAN)**.
|
|
|
|
Durante a emissão do certificado devem ser adicionados os seguintes campos:
|
|
|
|
Exemplo:
|
|
|
|
```
|
|
DNS: openmediavault.localmws
|
|
IP: 10.0.4.242
|
|
```
|
|
|
|
---
|
|
|
|
# Aba: Key
|
|
|
|
Configuração recomendada para laboratório:
|
|
|
|
```
|
|
Algorithm: RSA
|
|
Key size: 4096 bits
|
|
```
|
|
|
|
Essa configuração possui alta compatibilidade com servidores e navegadores.
|
|
|
|
---
|
|
|
|
# Aba: Validity
|
|
|
|
Definir o período de validade do certificado.
|
|
|
|
Sugestão:
|
|
|
|
```
|
|
825 days
|
|
```
|
|
|
|
ou aproximadamente **2 anos**.
|
|
|
|
---
|
|
|
|
# Salvando o Template
|
|
|
|
Após configurar todas as abas, salvar o template.
|
|
|
|
Ele ficará disponível na lista de templates do XCA.
|
|
|
|
Exemplo:
|
|
|
|
```
|
|
MWS_TLS_SERVER
|
|
```
|
|
|
|
---
|
|
|
|
# Utilizando o Template
|
|
|
|
Para emitir um certificado utilizando o template:
|
|
|
|
```
|
|
Certificates → New Certificate
|
|
```
|
|
|
|
Selecionar:
|
|
|
|
```
|
|
Template: MWS_TLS_SERVER
|
|
```
|
|
|
|
Preencher o campo **Common Name**.
|
|
|
|
Exemplo:
|
|
|
|
```
|
|
openmediavault.localmws
|
|
```
|
|
|
|
Adicionar os campos SAN:
|
|
|
|
```
|
|
DNS: openmediavault.localmws
|
|
IP: 10.0.4.242
|
|
```
|
|
|
|
Assinar o certificado utilizando a autoridade certificadora do laboratório.
|
|
|
|
Exemplo:
|
|
|
|
```
|
|
MWS_LAB_CA
|
|
```
|
|
|
|
---
|
|
|
|
# Exportação do Certificado
|
|
|
|
Após a emissão do certificado exportar:
|
|
|
|
Certificado:
|
|
|
|
```
|
|
openmediavault.localmws.crt
|
|
```
|
|
|
|
Chave privada:
|
|
|
|
```
|
|
openmediavault.localmws.key
|
|
```
|
|
|
|
---
|
|
|
|
# Benefícios do uso de Templates
|
|
|
|
O uso de templates no XCA permite:
|
|
|
|
* padronização da infraestrutura PKI
|
|
* redução de erros de configuração
|
|
* emissão rápida de certificados
|
|
* manutenção simplificada do laboratório
|
|
|
|
Templates são especialmente úteis quando diversos servidores precisam utilizar certificados HTTPS.
|