哪里搞一个证书链

orwtmc · 发表于 2021-10-7 15:03:27

RT，想自己用openssl搞一个，但是网上的指令搞不定。
不要问我用来干嘛，公司内部使用的，有些东西不能外签，比如打印机内网什么的没办法外包给别人签。
本地环境：Ubuntu 20.04.3 LTS & CentOS 7 64-bit

想要做到的效果
根-二级根-服务器证书
以及希望不仅仅可以签服务器，code signing什么的希望也可以。
最后声明：内部使用，要信任的时候自己装根CA，也就是说自己生成根

cyclists · 发表于 2021-10-7 15:08:31

提示: 作者被禁止或删除内容自动屏蔽

orwtmc · 发表于 2021-10-7 15:12:37

cyclists 发表于 2021-10-7 15:08
论坛搜自签

这个相当于直接把根的common name设置成网站了，我希望根下面一级或者再下面一级才是网站

asny · 发表于 2021-10-7 15:14:34

你是想使用OpenSSL生成一个CA根证书，并用这个根证书颁发两个子证书server和client？

orwtmc · 发表于 2021-10-7 15:20:11

asny 发表于 2021-10-7 15:14
你是想使用OpenSSL生成一个CA根证书，并用这个根证书颁发两个子证书server和client？ ...

差不多
用openssl生成根，根下面再生成一个证书，这个证书下面生成服务器证书
类似于现在主流网站的方案
比如cf的方案：Batimore根 - Cloudflare Inc CA-3 - 用户网站

çava · 发表于 2021-10-7 15:22:54

你可以问问这个站长
https://www.zxinc.org/ca/

ccf · 发表于 2021-10-7 15:24:03

楼主是想生成一个根证书及二级根证书吧

asny · 发表于 2021-10-7 15:27:10

https://**blogs.com/lzpong/p/10450293.html
使用OpenSsl自己CA根证书,二级根证书和颁发证书

tkn · 发表于 2021-10-7 15:27:38

本帖最后由 tkn 于 2021-10-7 18:11 编辑

这是我以前自己签二级证书用的

#一根证书
#1 创建根证书密钥，并使用 AES128 加密密钥，防止密钥文件丢失后被使用
openssl genpkey -algorithm RSA -aes128 -out root.key -outform PEM -pkeyopt rsa_keygen_bits:2048

#2 创建根证书请求文件，同时创建根证书
openssl req -x509 -new -nodes -sha256 -days 3650 -key root.key -out root.crt

#Country Name (2 letter code) [AU]:国家
#State or Province Name (full name) [Some-State]:地区
#Locality Name (eg, city) []:城市
#Organization Name (eg, company) [Internet Widgits Pty Ltd]:组织
#Organizational Unit Name (eg, section) []:组织单元
#Common Name (e.g. server FQDN or YOUR name) []:域名或 IP

#二服务器证书
#1 创建服务器证书密钥
openssl genpkey -algorithm RSA -out server.key -outform PEM -pkeyopt rsa_keygen_bits:2048

#2 创建服务器证书请求文件
openssl req -new -key server.key -out server.csr

#或这么写，可以不弹出界面
openssl req -new -key server.key -out server.csr -subj "/C=国家/ST=地区/L=城市/O=组织/OU=组织单元/CN=域名或IP"

#3 创建额外信息（可选） vi server.ext，输入如下内容:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
#域名证书入下填写
DNS.1 = #这里填写你的域名
DNS.2 = #这里填写你的域名
#IP证书入下填写
IP.1= #这里填写你的 IP
IP.2= #这里填写你的 IP

#4 创建服务器证书
openssl x509 -req -in server.csr -CA root.crt -CAkey root.key -CAcreateserial -out server.crt -days 730 -sha256 -extfile server.ext

xayle · 发表于 2021-10-7 15:27:42

https://pkiaas.io/

可以用这个生成 CA, 然后用 CA 去签发证书

		自动登录	找回密码
密码			注册

cyclists cyclists 当前离线积分 5856	2^# 发表于 2021-10-7 15:08:31 来自手机 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
cyclists cyclists 当前离线积分 5856
	回复支持反对举报

哪里搞一个证书链

浏览过的版块