我有一个来自sslforfree的 SSL 证书。我有ca-bundle,certificate和它的private钥匙。
我想为不同的子域创建自己的证书。我希望以某种方式,我可以用我现有的证书以某种方式签署该证书,它会通过浏览器和邮件客户端以及其他人所做的所有那些 ssl 检查。
我学习了几十个教程,但要么我错过了一个重要的细微差别,要么这些教程不是我想要的。
openssl任何人都可以帮助我,我怎样才能用from签署我的新证书CentOS 7?
AskOverflow.Dev
从技术上讲,您可以这样做,但没有人会信任这些证书。您的 SSL 证书*不允许*签署其他证书。
如果您查看您的证书,您可能会发现
Basic Constraints证书扩展名说明了主题类型:最终实体或 CA。isCAbit 将设置为 0,表示证书的持有者是最终实体。证书验证码将严格检查该字段,如果他们发现最终实体证书被用于签署其他证书,他们将被自动拒绝。供参考:RFC 5280 §4.2.1.9使用这样的命令查看您的证书
openssl x509 -text -in filename。看到CA:FALSE吗?这是一个标志,表示证书不能用作 CA,或签署从属证书。来自受信任根的任何 CA 都不会为您提供启用该证书的证书。如果他们这样做了,您将能够 MITM 世界上的任何人。
只需使用letsencrypt。您可以为可以通过 DNS 或 HTTP 质询验证的域获得所需的所有免费证书。您可以使用官方客户端,也可以使用第三方客户端。Letsencrypt 有很多易于使用的客户端。