Gerar certificados autoassinados com a CLI do .NET

Há diferentes maneiras de criar e usar certificados autoassinados para cenários de desenvolvimento e teste. Este artigo aborda o uso de certificados autoassinados com dotnet dev-certs, e outras opções como PowerShell e OpenSSL.

Em seguida, você pode validar se o certificado será carregado usando um exemplo, como um aplicativo ASP.NET Core hospedado em um contêiner.

Pré-requisitos

Para dotnet dev-certs, certifique-se de ter a versão apropriada do .NET instalada:

• Instalar o .NET no Windows
• Instalar o .NET no Linux
• Instalar o .NET no macOS

Este exemplo requer o Docker 17.06 ou posterior do cliente Docker.

Preparar aplicativo de exemplo

Para este guia, você usará um aplicativo de exemplo e fará alterações quando apropriado.

Verifique se o aplicativo de exemplo Dockerfile está usando o .NET 8.

Dependendo do sistema operacional host, talvez seja necessário atualizar o tempo de execução do ASP.NET. Por exemplo, para direcionar o tempo de execução do Windows apropriado, altere mcr.microsoft.com/dotnet/aspnet:8.0-nanoservercore-2009 AS runtime para mcr.microsoft.com/dotnet/aspnet:8.0-windowsservercore-ltsc2022 AS runtime no Dockerfile.

Por exemplo, isso ajudará a testar os certificados no Windows:

# https://hub.docker.com/_/microsoft-dotnet
FROM mcr.microsoft.com/dotnet/sdk:8.0 AS build
WORKDIR /source

# copy csproj and restore as distinct layers
COPY *.sln .
COPY aspnetapp/*.csproj ./aspnetapp/
RUN dotnet restore -r win-x64

# copy everything else and build app
COPY aspnetapp/. ./aspnetapp/
WORKDIR /source/aspnetapp
RUN dotnet publish -c release -o /app -r win-x64 --self-contained false --no-restore

# final stage/image
FROM mcr.microsoft.com/dotnet/aspnet:8.0-windowsservercore-ltsc2022 AS runtime
WORKDIR /app
COPY --from=build /app ./
ENTRYPOINT ["aspnetapp"]

Se você estiver testando os certificados no Linux, poderá usar o Dockerfile existente.

Certifique-se de que inclui aspnetapp.csproj a estrutura de destino apropriada:

<Project Sdk="Microsoft.NET.Sdk.Web">

  <PropertyGroup>
    <TargetFramework>net8.0</TargetFramework>
    <!--Other Properties-->
  </PropertyGroup>

</Project>

Nota

Se você quiser usar dotnet publish parâmetros para cortar a implantação, certifique-se de que as dependências apropriadas estejam incluídas para dar suporte a certificados SSL. Atualize o arquivo dotnet-docker\samples\aspnetapp\aspnetapp.csproj para garantir que os assemblies apropriados sejam incluídos no contêiner. Para referência, verifique como atualizar o arquivo .csproj para oferecer suporte a certificados SSL ao usar o corte para implantações independentes.

Certifique-se de que está a apontar para a aplicação de exemplo.

cd .\dotnet-docker\samples\aspnetapp

Crie o contêiner para teste localmente.

docker build -t aspnetapp:my-sample -f Dockerfile .

Criar um certificado autoassinado

Você pode criar um certificado autoassinado:

• Com dotnet dev-certs
• Com o PowerShell
• Com OpenSSL

Com dotnet dev-certs

Você pode usar dotnet dev-certs para trabalhar com certificados autoassinados.

dotnet dev-certs https -ep $env:USERPROFILE\.aspnet\https\aspnetapp.pfx -p crypticpassword
dotnet dev-certs https --trust

Nota

O nome do certificado, neste caso aspnetapp.pfx deve corresponder ao nome do assembly do projeto. crypticpassword é usado como um stand-in para uma senha de sua própria escolha. Se o console retornar "Um certificado HTTPS válido já está presente.", um certificado confiável já existe em sua loja. Ele pode ser exportado usando o MMC Console.

Configure segredos do aplicativo, para o certificado:

dotnet user-secrets -p aspnetapp\aspnetapp.csproj set "Kestrel:Certificates:Development:Password" "crypticpassword"

Nota

Nota: A palavra-passe tem de corresponder à palavra-passe utilizada para o certificado.

Execute a imagem do contêiner com o ASP.NET Core configurado para HTTPS:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -v $env:APPDATA\microsoft\UserSecrets\:C:\Users\ContainerUser\AppData\Roaming\microsoft\UserSecrets -v $env:USERPROFILE\.aspnet\https:C:\Users\ContainerUser\AppData\Roaming\ASP.NET\Https mcr.microsoft.com/dotnet/samples:aspnetapp

Assim que o aplicativo for iniciado, navegue até o navegador da https://localhost:8001 Web.

Limpeza

Se os segredos e certificados não estiverem em uso, certifique-se de limpá-los.

dotnet user-secrets remove "Kestrel:Certificates:Development:Password" -p aspnetapp\aspnetapp.csproj
dotnet dev-certs https --clean

Com o PowerShell

Você pode usar o PowerShell para gerar certificados autoassinados. O Cliente PKI pode ser usado para gerar um certificado autoassinado.

$cert = New-SelfSignedCertificate -DnsName @("contoso.com", "www.contoso.com") -CertStoreLocation "cert:\LocalMachine\My"

O certificado será gerado, mas para fins de teste, deve ser colocado em uma loja de certificados para teste em um navegador.

$certKeyPath = "c:\certs\contoso.com.pfx"
$password = ConvertTo-SecureString 'password' -AsPlainText -Force
$cert | Export-PfxCertificate -FilePath $certKeyPath -Password $password
$rootCert = $(Import-PfxCertificate -FilePath $certKeyPath -CertStoreLocation 'Cert:\LocalMachine\Root' -Password $password)

Neste ponto, os certificados devem ser visíveis a partir de um snap-in do MMC.

Você pode executar o contêiner de exemplo no Windows Subsystem for Linux (WSL):

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Password="password" -e ASPNETCORE_Kestrel__Certificates__Default__Path=/https/contoso.com.pfx -v /c/certs:/https/ mcr.microsoft.com/dotnet/samples:aspnetapp

Nota

Observe que, com a montagem do volume, o caminho do arquivo pode ser tratado de forma diferente com base no host. Por exemplo, no WSL você pode substituir /c/certs por /mnt/c/certs.

Se você estiver usando o contêiner criado anteriormente para Windows, o comando executar terá a seguinte aparência:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Password="password" -e ASPNETCORE_Kestrel__Certificates__Default__Path=c:\https\contoso.com.pfx -v c:\certs:C:\https aspnetapp:my-sample

Quando o aplicativo estiver ativo, navegue até contoso.com:8001 em um navegador.

Certifique-se de que as entradas do host estão atualizadas para contoso.com responder no endereço IP apropriado (por exemplo, 127.0.0.1). Se o certificado não for reconhecido, verifique se o certificado carregado com o contêiner também é confiável no host e se há entradas SAN/DNS apropriadas para contoso.com.

Limpeza

$cert | Remove-Item
Get-ChildItem $certKeyPath | Remove-Item
$rootCert | Remove-item

Com OpenSSL

Você pode usar OpenSSL para criar certificados autoassinados. Este exemplo usa WSL / Ubuntu e um shell bash com OpenSSL.

Este comando gera um .crt e um .key.

PARENT="contoso.com"
openssl req \
-x509 \
-newkey rsa:4096 \
-sha256 \
-days 365 \
-nodes \
-keyout $PARENT.key \
-out $PARENT.crt \
-subj "/CN=${PARENT}" \
-extensions v3_ca \
-extensions v3_req \
-config <( \
  echo '[req]'; \
  echo 'default_bits= 4096'; \
  echo 'distinguished_name=req'; \
  echo 'x509_extension = v3_ca'; \
  echo 'req_extensions = v3_req'; \
  echo '[v3_req]'; \
  echo 'basicConstraints = CA:FALSE'; \
  echo 'keyUsage = nonRepudiation, digitalSignature, keyEncipherment'; \
  echo 'subjectAltName = @alt_names'; \
  echo '[ alt_names ]'; \
  echo "DNS.1 = www.${PARENT}"; \
  echo "DNS.2 = ${PARENT}"; \
  echo '[ v3_ca ]'; \
  echo 'subjectKeyIdentifier=hash'; \
  echo 'authorityKeyIdentifier=keyid:always,issuer'; \
  echo 'basicConstraints = critical, CA:TRUE, pathlen:0'; \
  echo 'keyUsage = critical, cRLSign, keyCertSign'; \
  echo 'extendedKeyUsage = serverAuth, clientAuth')

openssl x509 -noout -text -in $PARENT.crt

Para obter um .pfx, use o seguinte comando:

openssl pkcs12 -export -out $PARENT.pfx -inkey $PARENT.key -in $PARENT.crt

Nota

A partir do .NET 5, o Kestrel pode usar arquivos .key codificados em .crt e PEM, além de arquivos .pfx com uma senha.

Dependendo do sistema operacional host, o certificado precisa ser confiável. Em um host Linux, 'confiar' no certificado é diferente e dependente da distro.

Para os fins deste guia, aqui está um exemplo no Windows usando o PowerShell:

Import-Certificate -FilePath $certKeyPath -CertStoreLocation 'Cert:\LocalMachine\Root'

Execute o exemplo usando o seguinte comando no WSL:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Path=/https/contoso.com.crt -e ASPNETCORE_Kestrel__Certificates__Default__KeyPath=/https/contoso.com.key -v /c/path/to/certs:/https/ mcr.microsoft.com/dotnet/samples:aspnetapp

Nota

No WSL, o caminho de montagem do volume pode mudar dependendo da configuração.

Execute o seguinte comando no PowerShell:

docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_ENVIRONMENT=Development -e ASPNETCORE_Kestrel__Certificates__Default__Path=c:\https\contoso.com.crt -e ASPNETCORE_Kestrel__Certificates__Default__KeyPath=c:\https\contoso.com.key -v c:\certs:C:\https aspnetapp:my-sample

Quando o aplicativo estiver ativo, navegue até contoso.com:8001 em um navegador.

Certifique-se de que as entradas do host estão atualizadas para contoso.com responder no endereço IP apropriado (por exemplo, 127.0.0.1). Se o certificado não for reconhecido, verifique se o certificado carregado com o contêiner também é confiável no host e se há entradas SAN/DNS apropriadas para contoso.com.

Limpeza

Certifique-se de limpar os certificados autoassinados depois de feito o teste.

Get-ChildItem $certKeyPath | Remove-Item

Consulte também

• dotnet dev-certs