我正在生成自签名的x509证书:
openssl genrsa -out myhost.priv.key 2048
openssl rsa -in myhost.priv.key -pubout -out myhost.pub.key
openssl req -new -keyout csr.priv.key -out csr.out -config csr.config
openssl genrsa -out ca.priv.key 2048
openssl req -new -x509 -key ca.priv.key -out ca.pem -config ca.config
openssl x509 -req -in csr.out -CA ca.pem -CAkey ca.priv.key -CAcreateserial -out myhost.pem
使用上述方法,可以使用带有csr.priv.key和myhost.pem的简单https服务器进行服务,并可以通过curl--cacert myhost.pem https://myhost:4443/进行访问。
现在,我想将证书添加到/etc/ssl/certs/ca-bundle.pem,以便其他浏览器等接受该证书。但是我应该添加哪个证书?添加myhost.pem可用于curl(即不使用--cacert选项即可工作);但是例如brave抱怨证书颁发机构无效。所以我想我需要添加ca.pem;但是然后curl失败了(自签名证书),并且勇敢不再快乐。
我认为可以将自己的证书标记为对自己使用感到满意。显然,我不希望它们在我自己的网络之外被接受。这就是“加密”的目的,但是我在这里尝试纯粹的内部用途。
谢谢