我一直在看how to create X509 certificates,我有点困惑。我理解这个理论,并且创建一个单一的证书是可以的,但我没有操作专业知识来创建整个系统。
以下是要求:
1)将有一个主服务器。任何权威机构都不会签署此SSL证书:它是根。该证书(或至少是验证它的方法)将随申请一起分发。
2)可能有任意数量的辅助服务器。每个人都会生成自己的证书并将其提交给主服务器。
3)主服务器将使用root签署二级证书。
用例是客户端连接到辅助服务器,并且必须能够验证其证书是否已由根签名。
N.B。主服务器由DNS主机名标识。辅助服务器可以命名,也可以仅通过IP地址识别。
有人可以告诉我openssl命令来完成这三个步骤吗?
这些步骤生成的文件(如果有的话)应不分发?
在第3步之后,主人是否必须将修改后的证书返回到辅助文件?
辅助证书是否必须由受信任的主服务器分发,或者客户端是否足以验证辅助服务器通告的任何证书?
答案 0 :(得分:2)
OpenSSL附带了一个用于创建基本CA的脚本:CA.pl。 (当然,您可以通过更改OpenSSL配置文件来更详细地配置它。)
辅助服务器应生成的是证书请求(CSR),CA可以处理该证书以颁发证书(在您选择的验证过程之后)。
关于文件分发:所有各方都应将其私钥保密。