我尝试创建根证书,签名中介以及用于Google App Engine流量的最终证书。我可以创建一个很好的根:
openssl genrsa -aes256 -out root.key 8192
openssl req -x509 -new -nodes -key root.key -days 7300 -out root.crt
然后我去创建一个中间证书,该证书将负责生成可用的密钥。
openssl genrsa -aes256 -out inter.key 4096
openssl req -new -key inter.key -out inter.csr
openssl x509 -req -in inter.csr -CA root.crt -CAkey root.key -CAcreateserial -out inter.crt
最后,我创建了用于网站的密钥对。
openssl genrsa -out inter.key 2048
openssl req -new -key site.key -out site.csr
openssl x509 -req -in site.csr -CA inter.crt -CAkey inter.key -CAcreateserial -out site.crt
然后我在我的计算机上安装root.crt(在本例中为Google Chrome)。但是,它并不接受最终证书是值得信赖的。但是,如果我跳过中间证书并只使用root用户签署站点证书,那么它的工作原理应该如何。我错过了什么吗?我觉得这应该有用,考虑到我基本上只是创建了一系列可以回到根目录的证书,对吧?或者我对这一切应该如何运作有一个根本的误解?
编辑:我找到了this,这基本上就是我想要做的事情。那么我的方法是什么呢?我可能错过了一些微妙的东西。