onei/lab-pki
onei
/
lab-pki
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Page: 1 - Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria
Pages
1 - Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria 2 - Padronização de nomes de certificados 3 - Criação de Template de Certificado no XCA 4 - Criação da Autoridade Certificadora (AC Raiz) no XCA 5 - Emissão de Certificado de Servidor utilizando Template no XCA 6 - Exportação de Certificados e Chaves Privadas no XCA 7 - Instalação do Certificado da Autoridade Certificadora no Windows 11 8 - Instalação de Certificado HTTPS em Servidores 9 - Observação sobre Interfaces Gráficas de Administração TLS APÊNDICE 1º - Arquitetura PKI do Laboratório APÊNDICE 2º - Fluxo de Emissão de Certificados APÊNDICE 3º - Fluxo de Emissão e Implantação de Certificados APÊNDICE 4º - Definição do Campo Common Name (CN) em Certificados Digitais
1 1 - Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria
Onei de Barros Junior edited this page 2026-03-12 13:52:13 +00:00
Table of Contents

Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria

1. Objetivo

Este documento descreve o procedimento para implementar HTTPS em servidores internos de laboratório utilizando uma Autoridade Certificadora (CA) própria.

A implementação elimina avisos de segurança nos navegadores e estabelece comunicação criptografada entre clientes e servidores.

O gerenciamento dos certificados será realizado com o software XCA.

Servidor de referência utilizado neste guia:

Hostname: openmediavault.localmws
IP: 10.0.4.242

2. Arquitetura da PKI do laboratório

A infraestrutura utiliza uma PKI simples com CA interna.

                    Root CA
                      │
                      │
                Certificados
                      │
      ┌───────────────┼───────────────┐
      │                               │
openmediavault.localmws        git.localmws
10.0.4.242                     10.0.4.xxx

A CA do laboratório será instalada como Autoridade Confiável nos computadores da rede.

Assim, qualquer certificado emitido por ela será aceito automaticamente pelos navegadores.

3. Ferramentas utilizadas

Ferramenta Finalidade
Windows 11 Estação de administração
XCA Gerenciamento da PKI
Servidor Linux Hospedagem do serviço
Navegador moderno Testes HTTPS

4. Instalação do XCA

Baixar o software:

Site oficial:

https://hohnstaedt.de/xca/

Após a instalação, executar o programa.

Ao iniciar pela primeira vez será necessário criar um banco de dados da PKI.

Exemplo:

lab-pki.xdb

Este arquivo conterá:

  • chaves privadas
  • certificados
  • autoridade certificadora

Este arquivo deve ser protegido e mantido em backup seguro.

5. Criação da Autoridade Certificadora (CA)

No XCA:

File → New Database

Definir senha forte.

Criar chave privada da CA

Menu:

Private Keys → New Key

Parâmetros recomendados:

Tipo: RSA
Tamanho: 4096 bits
Nome: MWS_LAB_CA_KEY

Criar certificado da CA

Menu:

Certificates → New Certificate

Selecionar:

Template: CA

Campos principais:

Common Name: MWS Laboratory Root CA
Organization: MaisWebsites Lab
Country: BR

Validade recomendada:

10 anos

Assinar com a própria chave.

Isso cria a Root CA do laboratório.

6. Exportação do certificado da CA

Exportar o certificado público da CA.

Formato:

PEM (*.crt)

Exemplo:

mws-root-ca.crt

Este certificado será instalado nas máquinas da rede.

7. Instalação da CA no Windows

No Windows:

Abrir:

certmgr.msc

Navegar até:

Trusted Root Certification Authorities

Importar o arquivo:

mws-root-ca.crt

Após isso, qualquer certificado emitido pela CA será confiável no sistema.

8. Criar certificado para o servidor

No XCA:

Certificates → New Certificate

Template:

HTTPS_server

Dados do certificado

Common Name:
openmediavault.localmws

Subject Alternative Name (SAN)

Adicionar:

DNS: openmediavault.localmws
IP: 10.0.4.242

Isso é essencial para compatibilidade com navegadores modernos.

9. Exportar certificado do servidor

Exportar dois arquivos:

Certificado

openmediavault.localmws.crt

Chave privada

openmediavault.localmws.key

10. Instalar certificado no servidor

Os arquivos devem ser copiados para o servidor.

Exemplo de diretório:

/etc/ssl/local/

Estrutura:

/etc/ssl/local/

openmediavault.localmws.crt
openmediavault.localmws.key

11. Configurar o servidor web

Exemplo para Nginx.

Arquivo:

/etc/nginx/sites-enabled/openmediavault.conf

Configuração básica:

server {

    listen 443 ssl;

    server_name openmediavault.localmws;

    ssl_certificate     /etc/ssl/local/openmediavault.localmws.crt;
    ssl_certificate_key /etc/ssl/local/openmediavault.localmws.key;

}

Reiniciar serviço:

systemctl restart nginx

12. Teste do HTTPS

No navegador acessar:

https://openmediavault.localmws

O navegador deverá mostrar:

Conexão segura
Certificado emitido por MWS Laboratory Root CA

Sem aviso de segurança.

13. Estrutura recomendada do repositório

Sugestão para organizar no Git:

pki-lab/

README.md

docs/
   criar-ca.md
   certificado-servidor.md
   instalar-ca-windows.md

exemplos/
   openmediavault.localmws.conf

diagramas/
   pki-topologia.png

Nunca armazenar chaves privadas no repositório.

14. Conclusão

A utilização de uma CA própria para ambientes internos permite implementar HTTPS em todos os serviços do laboratório de forma segura e controlada.

O uso do XCA facilita o gerenciamento da infraestrutura de certificados e simplifica a emissão de novos certificados para servidores da rede.