onei/lab-pki
onei
/
lab-pki
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Page: 3 - Criação de Template de Certificado no XCA
Pages
1 - Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria 2 - Padronização de nomes de certificados 3 - Criação de Template de Certificado no XCA 4 - Criação da Autoridade Certificadora (AC Raiz) no XCA 5 - Emissão de Certificado de Servidor utilizando Template no XCA 6 - Exportação de Certificados e Chaves Privadas no XCA 7 - Instalação do Certificado da Autoridade Certificadora no Windows 11 8 - Instalação de Certificado HTTPS em Servidores 9 - Observação sobre Interfaces Gráficas de Administração TLS APÊNDICE 1º - Arquitetura PKI do Laboratório APÊNDICE 2º - Fluxo de Emissão de Certificados APÊNDICE 3º - Fluxo de Emissão e Implantação de Certificados APÊNDICE 4º - Definição do Campo Common Name (CN) em Certificados Digitais
1 3 - Criação de Template de Certificado no XCA
Onei de Barros Junior edited this page 2026-03-12 13:52:44 +00:00
Table of Contents

Criação de Template de Certificado no XCA

Este documento descreve como criar um template de certificado TLS para servidores utilizando o software XCA.

O uso de templates permite padronizar a emissão de certificados e acelerar o processo de geração para novos servidores no laboratório.

Objetivo

Criar um template reutilizável para emissão de certificados TLS utilizados em servidores internos.

Exemplos de servidores:

openmediavault.localmws
git.localmws
proxmox.localmws
router.localmws

Acesso ao menu de Templates

Abrir o XCA e acessar:

Certificates → Templates → New Template

Definir um nome para o template.

Exemplo:

MWS_TLS_SERVER

Configuração do Template

Aba: Subject

Preencher os campos padrão da organização.

Campo Valor
Country BR
Organization MAISWEBSITES
Common Name (deixar em branco)

O campo Common Name será preenchido no momento da emissão do certificado.

Exemplo:

openmediavault.localmws

Aba: Extensions

Configurar as extensões necessárias para certificados TLS de servidor.

Basic Constraints

Type: End Entity
Path length: (vazio)
Critical: pode deixar desmarcado

Subject Alternative Name (SAN)

Navegadores modernos exigem o uso de Subject Alternative Name (SAN).

Ele fica em Extensions - X509v3 Subject Alternative Name.

Durante a emissão do certificado devem ser adicionados os seguintes campos:

Exemplo:

DNS: openmediavault.localmws
IP: 10.0.4.242

Key Identifier

Marcar:

X509v3 Subject Key Identifier
X509v3 Authority Key Identifier

Isso melhora:

  • a montagem automática da cadeia
  • debug de certificados
  • compatibilidade OpenSSL browsers

Aba: Key Usage

Selecionar:

Digital Signature
Key Encipherment

Extended Key Usage

Selecionar:

TLS Web Server Authentication

Opcionalmente pode-se incluir também:

TLS Web Client Authentication

Aba: Validity

Definir o período de validade do certificado.

Sugestão:

3650 days

ou aproximadamente 10 anos.

Salvando o Template

Após configurar todas as abas, salvar o template.

Ele ficará disponível na lista de templates do XCA.

Exemplo:

MWS_TLS_SERVER

Utilizando o Template

Para emitir um certificado utilizando o template:

Certificates → New Certificate

Selecionar:

Template: MWS_TLS_SERVER
Apply all

Preencher o campo Common Name.

Exemplo:

openmediavault.localmws

Adicionar os campos SAN:

DNS: openmediavault.localmws
IP: 10.0.4.242

Assinar o certificado utilizando a autoridade certificadora do laboratório.

Exemplo:

MWS_LAB_CA

Exportação do Certificado

Após a emissão do certificado exportar:

Certificado:

openmediavault.localmws.crt

Chave privada:

openmediavault.localmws.key

Benefícios do uso de Templates

O uso de templates no XCA permite:

  • padronização da infraestrutura PKI
  • redução de erros de configuração
  • emissão rápida de certificados
  • manutenção simplificada do laboratório

Templates são especialmente úteis quando diversos servidores precisam utilizar certificados HTTPS.