onei/lab-pki
onei
/
lab-pki
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Page: 5 - Emissão de Certificado de Servidor utilizando Template no XCA
Pages
1 - Manual: Infraestrutura HTTPS para Servidores de Laboratório com CA Própria 2 - Padronização de nomes de certificados 3 - Criação de Template de Certificado no XCA 4 - Criação da Autoridade Certificadora (AC Raiz) no XCA 5 - Emissão de Certificado de Servidor utilizando Template no XCA 6 - Exportação de Certificados e Chaves Privadas no XCA 7 - Instalação do Certificado da Autoridade Certificadora no Windows 11 8 - Instalação de Certificado HTTPS em Servidores 9 - Observação sobre Interfaces Gráficas de Administração TLS APÊNDICE 1º - Arquitetura PKI do Laboratório APÊNDICE 2º - Fluxo de Emissão de Certificados APÊNDICE 3º - Fluxo de Emissão e Implantação de Certificados APÊNDICE 4º - Definição do Campo Common Name (CN) em Certificados Digitais
4 5 - Emissão de Certificado de Servidor utilizando Template no XCA
Onei de Barros Junior edited this page 2026-03-13 00:21:05 +00:00
Table of Contents

Emissão de Certificado de Servidor utilizando Template no XCA

Este procedimento descreve como emitir um certificado digital para servidores internos utilizando um template previamente criado e a Autoridade Certificadora raiz do laboratório.

Este processo permite gerar certificados HTTPS padronizados para serviços internos como NAS, servidores web, repositórios Git e interfaces administrativas.

Pré-requisitos

  • Autoridade Certificadora raiz já criada
  • Template TLS de servidor previamente configurado
  • Banco PKI aberto no XCA

Referência:

Criação de Template de Certificado no XCA

Procedimento

1. Criar novo certificado

Abrir o XCA.

Ir na aba:

Certificates

Clicar em:

New Certificate

2. Aba Source

No campo:

Template for the new certificate

Selecionar:

MWS_TLS_SERVER

Clicar em:

Apply all

Este passo é essencial para que todas as configurações do template sejam aplicadas ao novo certificado.

3. Definir a Autoridade Certificadora

Na seção:

Signing

Selecionar:

Use this Certificate for signing

Escolher a Autoridade Certificadora:

MWS_CA_Raiz

4. Aba Extensions

Configurar o campo Subject Alternative Name (SAN).

Clicar em:

Edit

Na seção:

X509v3 Subject Alternative Name

Adicionar os atributos desejados.

Exemplo:

DNS: nas
DNS: nas.localmws
IP: 10.0.4.214

A inclusão correta dos SAN é fundamental para validação HTTPS em navegadores modernos.

5. Aba Subject

Configurar:

Internal Name

Exemplo:

nas.localmws

Configurar:

commonName

Exemplo:

nas

Observar Detalhes em no Apêndice 4º:

https://git.maiswebsites.com/onei/lab-pki/wiki/AP%C3%8ANDICE+4%C2%BA+-+Defini%C3%A7%C3%A3o+do+Campo+Common+Name+%28CN%29+em+Certificados+Digitais.-

6. Gerar chave privada do servidor

Clicar em:

Generate a new key

Configuração recomendada:

Algorithm: RSA
Key size: 4096 bits

Clicar em:

Create

Cada servidor deve possuir sua própria chave privada.

7. Finalizar emissão

Clicar em:

OK

O certificado será criado e automaticamente assinado pela Autoridade Certificadora raiz.

Validação

Após a criação é possível verificar:

  • Issuer = MWS_CA_Raiz
  • Basic Constraints = End Entity
  • Presença dos SAN configurados
  • Certificado listado na aba Certificates

Observações

Cada servidor HTTPS deve possuir:

  • certificado próprio
  • chave privada própria
  • SAN compatível com o hostname utilizado

A reutilização de chaves privadas entre servidores ou uso da chave da CA não é recomendada por motivos de segurança.

Este procedimento deve ser repetido para cada novo serviço HTTPS implantado no laboratório.