Crie chaves e certificados

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Crie chaves e certificados em seu diretório raiz para habilitar a configuração do TLS (Transport Layer Security, Segurança de camada de transporte). A configuração de TLS é necessária antes de você configurar o MTLS no MID Web Server e agente.

    Antes de Iniciar

    • Certifique-se de que não haja chaves instaladas no armazenamento de chaves unificado DO MID executando o seguinte comando:
      bin/scripts/manage-certificates.(sh/bat) -l

      Quando não há chaves instaladas, a saída é: defaultsecuritypairhandle

    • Invalide seu MID Server.

      Se houver chaves adicionais na saída, reinstale essas chaves após invalidar o. MID Server.

    • Certifique-se de que MID Server está conectado à instância.
    • Selecione um diretório no qual você deseja criar certificados, a ser chamado de rootdiretório.
    Nota:
    Os comandos especificados no procedimento a seguir são relevantes somente para um host Centos7. Ao trabalhar com outro SO, use os comandos relevantes para o host.

    Função necessária: agent_client_collector_admin

    Procedimento

    1. Em seu diretório raiz, crie subdiretórios para seus certificados. 
      mkdir -p labca labmid labacc;
    2. Em seu diretório raiz:
      1. Gere um par de chaves de autoridade de certificação personalizado. 
        openssl ecparam -list_curves;
openssl ecparam -out labca/ec-labcakey.pem -name prime256v1 -genkey; 
ls labca/;

        A saída gerada é ec-labcakey.pem arquivo.

      2. Execute os seguintes comandos: 
        openssl ecparam -in labca/ec-labcakey.pem -text -noout; 
openssl req -x509 -new -nodes -key labca/ec-labcakey.pem -sha512 -days 365 -out labca/labcacert.pem -subj "/C=<country>/ST=<state>/L=<location>/O=<organization> Lab/OU=<organization unit>/CN=<cn abbreviation>"; 
openssl verify labca/labcacert.pem;
        A saída gerada é:
        • LABCA/labcacert.pem: C: C: <country>, ST: <state>, L: O: <organization>, OU: <organization unit>, CN: <location> <cn abbreviation>
        • erro 18 na pesquisa de profundidade 0: certificado autoassinado
        • OK
        Nota:
        . erro a mensagem pode ser ignorada.
    3. Prepare o. MID Web Server chave e certificado.
      1. Execute os seguintes comandos no diretório raiz: 
        sudo cp -a labca/labcacert.pem /etc/pki/ca-trust/source/anchors/;
sudo update-ca-trust extract;
openssl verify labca/labcacert.pem

        A saída gerada é: Labca/labcacert.pem: OK

      2. Execute o comando "hostname --all-fqdns" Para obter todos os nomes de host válidos para a VM específica.
      3. Execute os seguintes comandos: 
        openssl req -new -newkey rsa:4096 -keyout labmid/rsa-labmidkey.pem -sha512 -nodes -out labmid/mid.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<hostname>";
openssl x509 -req -days 365 -in labmid/mid.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<hostname>")) -out labmid/mid.crt;

        Insira o FQDN como <hostname> valor no comando anterior. Se mais de um valor de fqdn for retornado pelo comando, use o valor com o seguinte formato: hostname.domain.domain.com .

        A saída gerada é: <country> <state> <organization>/ST <location>/L/O/OU <organization unit>/CN: Obtendo chave privada de CA

    4. Em seu diretório raiz, combine os arquivos de chave e de certificado em um arquivo chamado mid.pem . 
      cat labmid/rsa-labmidkey.pem labmid/mid.crt > labmid/mid.pem;

    O que Fazer Depois

    Instale o arquivo .pem no armazenamento de chaves unificado DO MID e configure o. MID Web Server.