如何创建X509根证书并分发从属证书

时间:2011-10-12 11:17:18

标签: security ssl openssl x509

我一直在看how to create X509 certificates,我有点困惑。我理解这个理论,并且创建一个单一的证书是可以的,但我没有操作专业知识来创建整个系统。

以下是要求:

1)将有一个主服务器。任何权威机构都不会签署此SSL证书:它是根。该证书(或至少是验证它的方法)将随申请一起分发。

2)可能有任意数量的辅助服务器。每个人都会生成自己的证书并将其提交给主服务器。

3)主服务器将使用root签署二级证书。

用例是客户端连接到辅助服务器,并且必须能够验证其证书是否已由根签名。

N.B。主服务器由DNS主机名标识。辅助服务器可以命名,也可以仅通过IP地址识别。


四个问题:

有人可以告诉我openssl命令来完成这三个步骤吗?

这些步骤生成的文件(如果有的话)应分发?

在第3步之后,主人是否必须将修改后的证书返回到辅助文件?

辅助证书是否必须由受信任的主服务器分发,或者客户端是否足以验证辅助服务器通告的任何证书?

1 个答案:

答案 0 :(得分:2)

OpenSSL附带了一个用于创建基本CA的脚本:CA.pl。 (当然,您可以通过更改OpenSSL配置文件来更详细地配置它。)

辅助服务器应生成的是证书请求(CSR),CA可以处理该证书以颁发证书(在您选择的验证过程之后)。

关于文件分发:所有各方都应将其私钥保密。