具有保險庫中間證書的 CA
我想使用 Vault (HashiCorp) 為內部服務設置私有 CA。我在 Vault 之外生成根 CA 和中間 CA 證書。Vault 將根據請求生成短期(30 天)證書。
我遵循了這個 guid https://jamielinux.com/docs/openssl-certificate-authority/introduction.html 並生成了 Root CA Certificate
example.com&dev.example.com,但是我是否需要*.dev.example.comVault 的萬用字元中間證書來生成進一步的子域證書,例如one.dev.example.com,two.dev.example.com?對此有任何幫助嗎?
我認為您在這裡誤解了一些術語,從您的來源複製
中間證書頒發機構 (CA) 是可以代表根 CA 簽署證書的實體。根 CA 簽署中間證書,形成信任鏈。
中間證書籤署其他證書,它不為 *.example.com 之類的站點或 *.dev.exmaple.com 之類的子域提供加密
中間人的唯一目的是為證書根提供保護,在這種情況下,中間人的私鑰被洩露,你必須撤銷它(在根級別)並重新生成你的證書,而如果你沒有這個,你需要從所有端點手動刪除 CA!
您似乎正在嘗試做的是生成一個萬用字元證書,您將使用中間 CA 證書對其進行簽名,以便您控制的系統信任您信任根證書。
您提到的網站似乎沒有明確說明使用主題替代名稱。
複製中間/openssl.cnf 並附加這些行。
req_extensions = v3_req [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = *.example.com DNS.2 = *.m.example.com DNS.3 = example.com
$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out keypair.csr -keyout keypair.key -config req.conf