O Que É uma Autoridade Certificadora? Explicado
Uma autoridade certificadora (CA) é uma organização confiável que emite e assina certificados digitais, atestando que uma chave pública realmente pertence a uma entidade nomeada.
Uma chave pública sozinha não diz de quem ela é - qualquer um pode gerar uma. Uma autoridade certificadora resolve isso agindo como um cartório confiável: ela verifica uma identidade e assina um certificado vinculando essa identidade a uma chave pública. CAs são a raiz da confiança que faz o HTTPS funcionar, e importam no CI sempre que um pipeline conversa com um servidor por TLS.
O que é uma autoridade certificadora
Uma CA é uma entidade que emite certificados digitais depois de verificar a identidade do solicitante. Ao assinar um certificado, a CA atesta que a chave pública dentro dele genuinamente pertence ao sujeito nomeado. Navegadores, sistemas operacionais e runners vêm com uma lista de CAs em que confiam por padrão.
A cadeia de confiança
A confiança flui em uma cadeia. Uma root CA, mantida offline e altamente protegida, assina CAs intermediárias, que assinam os certificados que os servidores de fato apresentam. Um verificador segue a cadeia do certificado do servidor até uma root confiável. Se cada elo confere, o certificado é confiável.
CAs públicas versus CAs privadas
CAs públicas (como as por trás da maioria dos sites HTTPS) são confiáveis por padrão em toda parte. Organizações também operam CAs privadas para serviços internos; os clientes precisam ser instruídos a confiar nessa root privada explicitamente. Essa distinção importa quando um runner precisa alcançar um servidor interno.
Autoridades certificadoras no CI
Um contratempo frequente no CI é um job falhar com um erro de verificação de certificado ao acessar um serviço interno assinado por uma CA privada em que o runner não confia. A correção é instalar o certificado da CA privada no trust store do runner para que a verificação TLS tenha sucesso.
# Trust a private CA on a runner in CI
steps:
- run: |
cp internal-ca.crt /usr/local/share/ca-certificates/
update-ca-certificatesNota Latchkey
Os runners Latchkey vêm com o bundle padrão de CAs públicas. Para alcançar serviços internos assinados pela sua própria CA, você instala esse certificado de CA em um passo de job, exatamente como faria em qualquer runner padrão.
Principais conclusões
- Uma autoridade certificadora é uma parte confiável que assina certificados vinculando identidades a chaves públicas.
- A confiança flui por uma cadeia desde uma root CA protegida até o certificado que um servidor apresenta.
- Jobs de CI que acessam serviços internos podem precisar da CA privada instalada no trust store do runner.