我知道如何创建自签名SSL证书,但是如何制定证书申请以便证书颁发机构授予证书签署证书的能力?
假设我是一家公司的网络运营主管。不同的IT部门有自己的网络,可以证明其他人可以连接,但我必须授予他们的证书签署证书的能力,而不是他们创建自己的自签名证书吗?
答案 0 :(得分:0)
将属性和其他信息设置到证书中涉及的大部分工作都是管理性的。
您不必担心证书申请本身。任何体面的CA都会撕掉它收到的证书请求,以提取公钥并将其与它想要形成证书的任何信息相关联。它应该只插入(a)它能够通过其他方式验证的信息(例如域名验证,或许多纸质表格......)和(b)它愿意担保的信息(和根据条款和条件,可能在一定程度上承担责任。
一些众所周知的CA有成为中间CA的方案。他们将向您发放此类CA证书。 (希望注册这些计划很难......)
如果您正在部署自己的内部CA并且想要中间CA,那么您发出的中间CA证书应该具有the cA boolean of the basic constraints extension set to true (see RFC 5280)。 (这不是证书请求的问题,而是您发出的证书。)