【问题标题】:How to create X509 root certificate and distribute subordinate certificates如何创建 X509 根证书和分发从属证书
【发布时间】:2011-10-12 11:17:17
【问题描述】:

我一直在看how to create X509 certificates,我有点困惑。我理解理论,创建单个证书是可以的,但我不具备创建整个系统的操作知识。

以下是要求:

1) 将有一个主服务器。 SSL 证书不会由任何权威机构签署:它是根。此证书(或至少验证它的方法)将与应用程序一起分发。

2) 可以有任意数量的辅助服务器。每个人都会生成自己的证书并将其提交给主服务器。

3) 主服务器将与根签署辅助证书。

用例是客户端连接到辅助服务器,并且必须能够验证其证书是否已由 root 签名。

注意主服务器由 DNS 主机名标识。辅助服务器可以命名,也可以仅通过 IP 地址来识别。


四个问题:

有人可以告诉我完成这三个步骤的 openssl 命令吗?

这些步骤生成的文件中的哪些(如果有)应该分发?

在第3步之后,master是否必须将修改后的证书返回给secondary?

辅助证书是否必须由受信任的主服务器分发,或者客户端是否足以验证辅助服务器发布的任何证书?

【问题讨论】:

    标签: security ssl openssl x509


    【解决方案1】:

    OpenSSL 附带一个用于创建基本 CA 的脚本:CA.pl。 (您当然可以通过更改 OpenSSL 配置文件来更详细地配置它。)

    辅助服务器应生成证书请求 (CSR),CA 可以对其进行处理以颁发证书(在您选择的验证过程之后)。

    关于文件分发:各方应保密其私钥。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2012-03-25
      • 2021-12-26
      • 1970-01-01
      • 2011-04-06
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多