Ssl

具有保險庫中間證書的 CA

  • November 18, 2020

我想使用 Vault (HashiCorp) 為內部服務設置私有 CA。我在 Vault 之外生成根 CA 和中間 CA 證書。Vault 將根據請求生成短期(30 天)證書。

我遵循了這個 guid https://jamielinux.com/docs/openssl-certificate-authority/introduction.html 並生成了 Root CA Certificate example.com& dev.example.com,但是我是否需要*.dev.example.comVault 的萬用字元中間證書來生成進一步的子域證書,例如one.dev.example.comtwo.dev.example.com

對此有任何幫助嗎?

我認為您在這裡誤解了一些術語,從您的來源複製

中級 CA

中間證書頒發機構 (CA) 是可以代表根 CA 簽署證書的實體。根 CA 簽署中間證書,形成信任鏈。

中間證書籤署其他證書,它不為 *.example.com 之類的站點或 *.dev.exmaple.com 之類的子域提供加密

中間人的唯一目的是為證書根提供保護,在這種情況下,中間人的私鑰被洩露,你必須撤銷它(在根級別)並重新生成你的證書,而如果你沒有這個,你需要從所有端點手動刪除 CA!

您似乎正在嘗試做的是生成一個萬用字元證書,您將使用中間 CA 證書對其進行簽名,以便您控制的系統信任您信任根證書。

您提到的網站似乎沒有明確說明使用主題替代名稱。

複製中間/openssl.cnf 並附加這些行。


req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.example.com
DNS.2 = *.m.example.com
DNS.3 = example.com

$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out keypair.csr -keyout keypair.key -config req.conf

引用自:https://serverfault.com/questions/1043117