Não sou administrador de sistema ou administrador de rede (tenho experiência em desenvolvedor de software). Estou encontrando algumas dificuldades ao tentar seguir este tutorial para implementarAutenticação de cliente SLLem uma versão Ubuntu 20.04:https://www.makethenmakeinstall.com/2014/05/ssl-client-authentication-step-by-step/
Eu sei que este tutorial é bem antigo, mas parece funcionar bem, exceto em um único ponto.
Basicamente executei todos os passos indicados no tutorial anterior. Eu os resumi aqui para que você também possa me dar um feedback se eu estiver entendendo bem o que fiz:
Gere um certificado de autoridade de certificação (CA):como primeira coisa, estou criando um certificado CA. Se bem entendi é algo como criar minha própria autoridade certificadora pessoal (como cacert.org), a única coisa é que neste caso não existe nenhuma instituição que valide os certificados emitidos por esta CA. Esse entendimento está correto?
openssl req -newkey rsa:4096 -keyform PEM -keyout ca.key -x509 -days 3650 -outform PEM -out ca.cer
Basicamente, este comando me pedirá umFrase secreta PEMque usarei para interagir com minha própria CA e alguns detalhes. Coloquei esses parâmetros:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Notariato
Organizational Unit Name (eg, section) []:.
Common Name (e.g. server FQDN or YOUR name) []:.*
Email Address []:[email protected]
OBSERVAÇÃO:na resposta anterior coloquei um curinga (*) para o nome comum para "ignorar" onde os certificados serão utilizados. Isso pode funcionar?
Então este comando gera umca.cerarquivo que usarei para gerar meus servidores e certificado de cliente.
O eugerar minha chave SSL e certificado do servidor Apache: este ainda não é o certificado do cliente (o certificado usado pelo cliente para dizer ao servidor: "Sou um cliente certificado !!!"), este é o certificado do servidor que diz ao cliente: "Sou o servidor correto , não um homem no meio". Está correto?
Para criar este certificado do seridor, primeiro eu gero o servidorchave privada:
openssl genrsa -out server.key 4096
Então usei essa chave privada do servidor para gerar uma solicitação de geração de certificado.
openssl req -new -key server.key -out server.req -sha256
Também aqui me pergunta alguns parâmetros:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Notariato
Organizational Unit Name (eg, section) []:.
Common Name (e.g. server FQDN or YOUR name) []:*
Email Address []:[email protected]
OBSERVAÇÃO:também aqui coloquei um curinga (*) para o nome comum para "ignorar" onde os certificados serão usados. Isso pode funcionar?
Então usei a solicitação de geração de certificado e o certificado CA para gerar o certificado do servidor:
openssl x509 -req -in server.req -CA ca.cer -CAkey ca.key -set_serial 100 -extensions server -days 1460 -outform PEM -out server.cer -sha256
Então estou tentando instalar o certificado em meu Apache:
Copie o certificado CA para um local permanente. Precisaremos especificar nosso certificado CA no Apache, pois é uma CA gerada automaticamente e não incluída em sistemas operacionais em todos os lugares:
cp ca.cer /etc/ssl/certs/
Copie o certificado do servidor e a chave privada para um local permanente:
cp server.cer /etc/ssl/certs/server.crt cp server.key /etc/ssl/private/server.key
Ative o módulo SSL no Apache:
a2enmodssl
Ative o site SSL no Apache e desative o site HTTP:
a2ensite padrão-ssl a2dissite padrão
E agora estou tendo um problema no último comando, seguindo a saída dos dois últimos comandos:
andrea@ubuntu:~/cert$ a2ensite default-ssl
Site default-ssl already enabled
andrea@ubuntu:~/cert$ a2dissite default
ERROR: Site default does not exist!
Como você pode ver quando eu atuoa2dissite padrãoestou conseguindo issoERRO: O padrão do site não existe!mensagem de erro.
Por que? O que significa? O que está errado? Como posso tentar resolver esse erro?