如何创建自己的证书链？

Question

2010-03-31 15:38:27 +0000 2010-03-31 15:38:27 +0000

63

如何创建自己的证书链？

我想建立自己的OCSP响应器（只是为了测试目的）。这需要我有一个根证书和由它生成的一些证书。

我已经成功地使用openssl创建了一个自签名证书。我想用它作为根证书。下一步是创建衍生证书。然而，我似乎找不到关于如何做到这一点的文档。有人知道在哪里可以找到这些信息吗？

编辑现在回想起来，我的问题还没有完全解答。为了澄清这个问题，我将这样表示我的证书链。

ROOT -> A -> B -> C -> …

我目前能够创建ROOT和A证书，但我还没有找到如何制作更长的链。

我的创建根证书的命令是

openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key
openssl x509 -trustout -signkey ca.key -days 365 -req -in ca.csr -out ca.pem

A证书是这样创建的：

openssl genrsa -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.cer

这条命令隐含地依赖于根证书，它在openssl配置文件中找到所需信息。

然而，证书B必须只依赖于A，而A并没有在配置文件中注册，所以前面的命令在这里不起作用。

我应该用什么命令行来创建证书B及以后的证书？

编辑我在【本文】(http://www.ibm.com/developerworks/java/library/j-certgen/)中找到了答案。B证书(链A ->B)可以用这两个命令来创建。

# Create a certificate request
openssl req -new -keyout B.key -out B.request -days 365

# Create and sign the certificate
openssl ca -policy policy_anything -keyfile A.key -cert A.pem -out B.pem -infiles B.request

我还修改了openssl.cnf文件。

[usr_cert]
basicConstraints=CA:TRUE # prev value was FALSE

这种方法似乎很有效。

来源

StackedCrooked http://superuser.stackexchange.com/users/14308

答案 (4)

14

2012-04-29 17:54:40 +0000

一旦你创建了你的CA，你就可以用它来签名。

创建一个密钥：
创建一个csr：
签署：

你的改变：

basicConstraints=CA:TRUE # prev value was FALSE

意味着你发行的证书可以用来签署其他证书。

来源

Mr_and_Mrs_D http://superuser.stackexchange.com/users/14308

9

2010-03-31 17:51:10 +0000

OpenSSL带有一个Perl脚本 “CA.pl "来帮助你创建一个自签名的根CA证书，以及匹配的私钥，再加上一些简单的文件和目录来帮助你跟踪你与该根CA签署（也就是发行）的任何未来的证书。它还可以帮助你生成其他密钥对和证书签署请求（CSR），并帮助你处理这些CSR（也就是为它们签发证书），以及更多。

请注意，许多产品要求CA证书包含一定的属性，标志着它们是CA证书，否则它们将不被接受为其他证书的有效签名者/签发者。如果你创建的自签名证书不包含该属性，你可能会难以让其他软件将其视为有效的根CA证书。

如果我没记错的话，语法是这样的。

CA.pl -newca # Create a new root CA  

CA.pl -newreq # Create a new CSR

CA.pl -sign # Sign a CSR, creating a cert  

CA.pl -pkcs12 # Turn an issued cert, plus its matching private key and trust chain, into a .p12 file you can install on another machine

来源

Spiff http://superuser.stackexchange.com/users/14308

-1

2018-11-06 22:59:55 +0000

我找到了这个帖子。https://stackoverflow.com/questions/19665863/how-do-i-use-a-self-signed-certificate-for-a-https-node-js-server

这是为Node.JS准备的，但在这个GitHub repo中的脚本使用openSLL命令来创建一个根CA证书和域证书。

使用openSLL运行。bash make-root-ca-and-certificates.sh 'example.com'

或者对于本地主机使用： bash make-root-ca-and-certificates.sh 'localhost'

make-root-ca-and-certificates.sh

#!/bin/bash
FQDN=$1

# make directories to work from
mkdir -p certs/{server,client,ca,tmp}

# Create your very own Root Certificate Authority
openssl genrsa \
  -out certs/ca/my-root-ca.key.pem \
  2048

# Self-sign your Root Certificate Authority
# Since this is private, the details can be as bogus as you like
openssl req \
  -x509 \
  -new \
  -nodes \
  -key certs/ca/my-root-ca.key.pem \
  -days 1024 \
  -out certs/ca/my-root-ca.crt.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Signing Authority Inc/CN=example.com"

# Create a Device Certificate for each domain,
# such as example.com, *.example.com, awesome.example.com
# NOTE: You MUST match CN to the domain name or ip address you want to use
openssl genrsa \
  -out certs/server/privkey.pem \
  2048

# Create a request from your Device, which your Root CA will sign
openssl req -new \
  -key certs/server/privkey.pem \
  -out certs/tmp/csr.pem \
  -subj "/C=US/ST=Utah/L=Provo/O=ACME Tech Inc/CN=${FQDN}"

# Sign the request from Device with your Root CA
# -CAserial certs/ca/my-root-ca.srl
openssl x509 \
  -req -in certs/tmp/csr.pem \
  -CA certs/ca/my-root-ca.crt.pem \
  -CAkey certs/ca/my-root-ca.key.pem \
  -CAcreateserial \
  -out certs/server/cert.pem \
  -days 500

# Create a public key, for funzies
# see https://gist.github.com/coolaj86/f6f36efce2821dfb046d
openssl rsa \
  -in certs/server/privkey.pem \
  -pubout -out certs/client/pubkey.pem

# Put things in their proper place
rsync -a certs/ca/my-root-ca.crt.pem certs/server/chain.pem
rsync -a certs/ca/my-root-ca.crt.pem certs/client/chain.pem
cat certs/server/cert.pem certs/server/chain.pem > certs/server/fullchain.pem
```。

来源

Ralph Bisschops http://superuser.stackexchange.com/users/14308

如何创建自己的证书链？

答案 (4)

make-root-ca-and-certificates.sh

相关问题