自签名根证书、中心证书、服务器证书生成流程详解

一、生成根证书

生成自签名的根证书（Root Certificate）的过程包罗生成私钥、生成自签名的根证书。以下是基于 OpenSSL 的步骤：
1. 生成根私钥

1. openssl genpkey -algorithm RSA -out root_key.pem

复制代码

上述下令会生成一个 RSA 算法的私钥文件 root_key.pem。
2. 生成自签名的根证书哀求

1. openssl req -new -key root_key.pem -out root_csr.pem

复制代码

在这一步中，你需要提供一些信息，如构造名、构造单位、国家等。最终，它会生成一个自签名的根证书哀求文件 root_csr.pem。
下表列出了执行 openssl req -new -key root_key.pem -out root_csr.pem
时需要填写的一些常见信息及其作用：
FieldDescriptionCountry Name (2 letter code)两字母的国家代码，比方 “US”。State or Province Name州或省的全名。Locality Name (e.g., city)都会或地区的全名。Organization Name (e.g., company)公司或构造的全名。Organizational Unit Name (e.g., section)部分或单位的全名。Common Name (e.g., your name or your server’s hostname)通常是你的服务器的主机名。Email Address电子邮件地点，用于证书接洽。Challenge Password挑战暗码（可选）。Optional Company Name可选的公司名称。 这些信息将用于填写证书哀求文件。在实际环境中，一些字段大概不是必须的，具体取决于你的使用场景和证书颁发机构（CA）的要求。通常，“Common Name” 是最重要的字段，应该设置为与你的服务器域名或主机名相匹配的值。其他字段的值可以根据实际环境填写。
3. 使用私钥签署自签名的根证书

1. openssl x509 -req -in root_csr.pem -signkey root_key.pem -out root_cert.pem

复制代码

这一步将使用之前生成的私钥 root_key.pem 对自签名的证书哀求 root_csr.pem 举行签名，生成最终的根证书 root_cert.pem。
至此，你已经生成了一个自签名的根证书。请确保妥善保管生成的私钥文件 root_key.pem，因为它是证书签名的关键。
留意：上述步骤是生成自签名根证书的根本步骤。在实际生产环境中，你大概需要更具体的信息，包罗使用设置文件来指定证书信息，设置证书有用期限等。
二、中心证书生成

生成中心证书需要遵循一些类似于生成根证书的步骤。中心证书一般是由根证书签署的。以下是生成中心证书的根本步骤：
1. 生成中心私钥

1. openssl genpkey -algorithm RSA -out intermediate_key.pem

复制代码

上述下令会生成一个 RSA 算法的私钥文件 intermediate_key.pem。
2. 生成中心证书哀求

1. openssl req -new -key intermediate_key.pem -out intermediate_csr.pem

复制代码

在这一步中，你需要提供一些信息，如构造名、构造单位、国家等。最终，它会生成一个中心证书哀求文件 intermediate_csr.pem。
3. 使用根证书私钥签署中心证书哀求

1. openssl x509 -req -in intermediate_csr.pem -CA root_cert.pem -CAkey root_key.pem -CAcreateserial -out intermediate_cert.pem

复制代码

这一步将使用根证书 root_cert.pem 和根私钥 root_key.pem 对中心证书哀求 intermediate_csr.pem 举行签名，生成中心证书 intermediate_cert.pem。
4. 验证中心证书

1. openssl verify -CAfile root_cert.pem intermediate_cert.pem

复制代码

上述下令用于验证中心证书是否有用，确保它是由根证书签署的。
至此，你已经生成了一个由根证书签署的中心证书。中心证书通常用于构建证书链，形成一个完备的信托链。在实际环境中，你大概还需要思量中心证书的有用期、使用设置文件来指定证书信息等。
三、服务器证书生成

生成服务器证书的步骤与生成中心证书和根证书类似。服务器证书是由中心证书签署的。以下是生成服务器证书的根本步骤：
1. 生成服务器私钥

1. openssl genpkey -algorithm RSA -out server_key.pem

复制代码

上述下令会生成一个 RSA 算法的私钥文件 server_key.pem。
2. 生成服务器证书哀求

1. openssl req -new -key server_key.pem -out server_csr.pem

复制代码

在这一步中，你需要提供一些信息，如构造名、构造单位、国家等。最终，它会生成一个服务器证书哀求文件 server_csr.pem。
3. 使用中心证书私钥签署服务器证书哀求

1. openssl x509 -req -in server_csr.pem -CA intermediate_cert.pem -CAkey intermediate_key.pem -CAcreateserial -out server_cert.pem

复制代码

这一步将使用中心证书 intermediate_cert.pem 和中心私钥 intermediate_key.pem 对服务器证书哀求 server_csr.pem 举行签名，生成服务器证书 server_cert.pem。
4. 验证服务器证书

1. openssl verify -CAfile intermediate_cert.pem server_cert.pem

复制代码

上述下令用于验证服务器证书是否有用，确保它是由中心证书签署的。
至此，你已经生成了一个由中心证书签署的服务器证书。这个服务器证书可以用于设置 Web 服务器、TLS/SSL 终端等。在实际环境中，你大概还需要思量服务器证书的有用期、使用设置文件来指定证书信息等。
DNSNameMatches

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。