3.5. 使用私有 CA 使用 OpenSSL 为 CSR 发布证书
要让系统建立一条 TLS 加密的通信频道,证书颁发机构(CA)必须为它们提供有效的证书。如果您有私有 CA,您可以通过从系统签署证书签名请求(CSR)来创建请求的证书。
先决条件
- 您已配置了私有 CA。如需更多信息,请参阅 第 3.2 节 “使用 OpenSSL 创建私有 CA”。
- 您有一个包含 CSR 的文件。您可以在 第 3.3 节 “使用 OpenSSL 为 TLS 服务器证书创建私钥和 CSR” 中找到创建 CSR 的示例。
流程
可选:使用您选择的文本编辑器准备一个 OpenSSL 配置文件,以便为证书添加扩展,例如:
$ vim <openssl.cnf> [server-cert] extendedKeyUsage = serverAuth [client-cert] extendedKeyUsage = clientAuth使用
x509工具创建基于 CSR 的证书,例如:$ openssl x509 -req -in <server-cert.csr> -CA <ca.crt> -CAkey <ca.key> -days 365 -extfile <openssl.cnf> -extensions <server-cert> -out <server-cert.crt> Signature ok subject=C = US, O = Example Organization, CN = server.example.com Getting CA Private Key
其他资源
-
openssl (1),ca (1), 和x509 (1)手册页
