Nos últimos dias eu estava tentando entender a história dos certificados, e entendi o princípio básico deles, mas não entendi essa etapa quando criamos um certificado CA para assinar meu próprio certificado de servidor.
Vou resumir aqui o que entendi sobre a criação de novos certificados para utilizá-los com os serviços do meu servidor e por favor me diga se está tudo certo e me ajude a entender os pontos que estou perdendo ou não entendo:
Eu crio minha própria chave privada aleatoriamente (servidor.chave)
Eu gero minha chave pública de acordo com a chave pública anterior (servidor.csr), e este arquivo é apenas um certificado normal, mas sem nenhuma assinatura.
Repito os dois últimos passos para obterca.key e ca.csr. e deixá-los assinar de alguma forma para obterca.crt(Não entendo o processo de autoassinatura aqui).
usá-los para assinar meuservidor.csrobterservidor.crt.
Agora, o que não entendo, se consegui autoassinar os arquivos na etapa 3, por que não executei facilmente as duas primeiras etapas e deixei que eles assinassem sozinhos para conseguir isso?servidor.crtarquivo?
Acredito que não entendi algo sobre esse processo de autoassinatura, mas infelizmente vi muitos vídeos e li muitos artigos, mas nada ajudou a consertar isso.
Responder1
Claro, você poderia fazer isso.
Seu processo completonão éaté mesmo o que geralmente é chamado de "autoassinatura" - na verdade, você está criando toda uma hierarquia de CA aqui. Alguns tutoriais aconselham fazer isso para facilitar futuras substituições de certificados – em vez de ter que atualizar todos os clientes para o novo certificado autoassinado, você só precisa fazê-los confiar na CA personalizadauma vez.
Além disso, algumas pessoas usam o termo "autoassinado" para qualquer certificado que não seja confiável por padrão. Esse uso está errado, pois tecnicamente todos os certificados de CA raiz também são autoassinados, mas é possível que seu tutorial o tenha usado dessa maneira.