主页 / server / 问题 / 1043117
Accepted
roy
Asked: 2020-11-19 13:37:34 +0800 CST

具有保险库中间证书的 CA

  • 772

我想使用 Vault (HashiCorp) 为内部服务设置私有 CA。我在 Vault 之外生成根 CA 和中间 CA 证书。Vault 将根据请求生成短期(30 天)证书。

我遵循了这个 guid https://jamielinux.com/docs/openssl-certificate-authority/introduction.html 并生成了 Root CA Certificate example.com& dev.example.com,但是我是否需要*.dev.example.comVault 的通配符中间证书来生成进一步的子域证书,例如one.dev.example.comtwo.dev.example.com

对此有任何帮助吗?

ssl certificate certificate-authority openssl self-signed-certificate

1 个回答

  1. Best Answer

    我认为您在这里误解了一些术语,从您的来源复制

    中级 CA

    中间证书颁发机构 (CA) 是可以代表根 CA 签署证书的实体。根 CA 签署中间证书,形成信任链。

    中间证书签署其他证书,它不为 *.example.com 之类的站点或 *.dev.exmaple.com 之类的子域提供加密

    中间人的唯一目的是为证书根提供保护,在这种情况下,中间人的私钥被泄露,你必须撤销它(在根级别)并重新生成你的证书,而如果你没有这个,你需要从所有端点手动删除 CA!

    您似乎正在尝试做的是生成一个通配符证书,您将使用中间 CA 证书对其进行签名,以由您控制的系统信任,您已信任根证书。

    您提到的网站似乎没有明确说明使用主题替代名称。

    复制中间/openssl.cnf 并附加这些行。

    
req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.example.com
DNS.2 = *.m.example.com
DNS.3 = example.com

    $ openssl req -new -newkey rsa:2048 -sha256 -nodes -out keypair.csr -keyout keypair.key -config req.conf

    • 1

相关问题