Criando e convertendo chaves para um certificado SSL válido
Criando e convertendo chaves para um certificado SSL válido
Para provisionar TLS, você precisa de uma chave privada, um CSR e a cadeia retornada pela CA. A seguir um fluxo mínimo e repetível com OpenSSL.
Step 1: Generate a Private Key
Gere a chave e mantenha-a privada:
1
openssl genrsa -out privkey.pem 2048
Isso cria privkey.pem.
Step 2: Create a Certificate Signing Request (CSR)
Crie o CSR para enviar à CA (substitua os valores pelo seu dado real):
1
openssl req -new -key privkey.pem -out mycert.csr -subj "/C=BR/ST=YourState/L=YourCity/O=YourOrganization/OU=YourUnit/CN=yourdomain.com"
Isso gera mycert.csr com o subject informado.
Step 3: Submit the CSR to a Certificate Authority
Envie mycert.csr para a CA (ex.: Let’s Encrypt, DigiCert, Sectigo). Elas retornam o certificado de domínio e geralmente um intermediário.
Step 4: Combine Certificates to Create a Full Chain
Na maioria dos servidores você precisa do fullchain.pem juntando o certificado do domínio e os intermediários:
Use the following command to concatenate the domain certificate (mycert.pem), intermediate certificate, and root certificate into a single file:
1
cat mycert.pem intermediate.pem root.pem > fullchain.pem
Isso monta o fullchain.pem com tudo o que o cliente precisa.
Step 5: Convert the Private Key to PEM Format (if needed)
Se precisar regravar a chave em PEM padrão:
1
openssl rsa -in privkey.pem -out privkey-converted.pem
Isso gera privkey-converted.pem.
Step 6: Verify the Full Chain
Verifique se a cadeia está válida:
1
openssl verify -CAfile fullchain.pem mycert.pem
Isso checa o certificado contra a cadeia fornecida.
Conclusion
Com esses passos você gera a chave, cria o CSR, monta a cadeia e verifica tudo antes de configurar o servidor web ou ingress.
References: