文章目录

译者注
翻译
- 名称
- 提要
- 描述
- 选项
- CRL 选项
- 配置文件选项
- 策略格式
- SPKAC 格式
- 示例
- 文件
- 限制
- BUGS
- WARNINGS
- HISTORY
- SEE ALSO
- COPYRIGHT
译者修改的一个配置文件

译者注

翻译openssl-ca == man ca文档翻译。

边看边翻译，翻译的挺烂。

翻译

名称

openssl-ca, ca - sample minimal CA application

提要

openssl ca [-help] [-verbose] [-config filename] [-name section] [-gencrl] [-revoke file] [-valid file] [-status serial] [-updatedb] [-crl_reason reason] [-crl_hold instruction] [-crl_compromise time] [-crl_CA_compromise time] [-crldays days] [-crlhours hours] [-crlexts section] [-startdate date] [-enddate date] [-days arg] [-md arg] [-policy arg] [-keyfile arg] [-keyform PEM|DER] [-key arg] [-passin arg] [-cert file] [-selfsign] [-in file] [-out file] [-notext] [-outdir dir] [-infiles] [-spkac file] [-ss_cert file] [-preserveDN] [-noemailDN] [-batch] [-msie_hack] [-extensions section] [-extfile section] [-engine id] [-subj arg] [-utf8] [-sigopt nm:v] [-create_serial] [-rand_serial] [-multivalue-rdn] [-rand file…] [-writerand file]

描述

ca 命令是一个最小的 CA 应用程序。它可用于签署各种形式的证书请求并生成 CRL，它还维护已颁发证书及其状态的文本数据库。

下面是命令的选项介绍。

选项

help：打印出使用信息。
-verbose：这将打印有关正在执行的操作的额外详细信息。
-config filename：指定要使用的配置文件。
-name section：指定要使用的配置文件部分(overrides default_ca in the ca section).
-in filename：需要由CA签名的一个证书请求的文件名。
-ss_cert filename：由 CA 签名的单个自签名证书。
-spkac filename：包含单个 Netscape 签名的公钥和质询以及要由 CA 签名的附加字段值的文件。有关所需输入和输出格式的信息，请参阅 SPKAC FORMAT 部分。
-infiles：如果存在，这应该是最后一个选项，所有后续参数都被视为包含证书请求的文件的名称。
-out filename：将证书输出到的输出文件。默认为标准输出。证书详细信息也将以 PEM 格式打印到此文件中（除了 -spkac 输出 DER 格式）。
-outdir directory：将证书输出到的目录。证书将被写入一个文件名，该文件名由十六进制的序列号组成，并附加“.pem”。
-cert：CA 证书文件。
-keyfile filename：用于签署请求的私钥。
-keyform PEM|DER：私钥文件中数据的格式。默认为 PEM。
-sigopt nm:v：在签名或验证操作期间将选项传递给签名算法。这些选项的名称和值是特定于算法的。
-key password：用于加密私钥的密码。由于在某些系统上命令行参数是可见的（例如带有 ‘ps’ 实用程序的 Unix），因此应谨慎使用此选项。
-selfsign：指示颁发的证书将使用签署证书请求的密钥进行签名（使用 -keyfile 给出）。使用不同密钥签名的证书请求将被忽略。如果给出 -spkac、-ss_cert 或 -gencrl，则忽略 -selfsign。使用 -selfsign 的结果是自签名证书出现在证书数据库中的条目中（请参阅配置选项数据库），并使用与使用自签名证书进行签名的所有其他证书相同的序列号计数器。
-passin arg：密钥密码源。有关 arg 格式的更多信息，请参阅“密码短语选项”
-notext：不要将证书的文本形式输出到输出文件。
-startdate date：这允许明确设置开始日期。日期的格式为 YYMMDDHHMMSSZ（与 ASN1 UTCTime 结构相同）或 YYYYMMDDHHMMSSZ（与 ASN1 GeneralizedTime 结构相同）。在这两种格式中，必须存在秒 SS 和时区 Z。
-enddate date：这允许明确设置到期日期。日期的格式为 YYMMDDHHMMSSZ（与 ASN1 UTCTime 结构相同）或 YYYYMMDDHHMMSSZ（与 ASN1 GeneralizedTime 结构相同）。在这两种格式中，必须存在秒 SS 和时区 Z。
-days arg：认证证书的天数。
-md alg：要使用的消息摘要。可以使用 OpenSSL dgst 命令支持的任何摘要。对于不支持摘要的签名算法（即 Ed25519 和 Ed448），任何设置的消息摘要都会被忽略。此选项也适用于 CRL。
-policy arg：此选项定义要使用的 CA“策略”。这是配置文件中的一个部分，它决定哪些字段应该是强制性的或与 CA 证书匹配。查看政策格式部分了解更多信息。
-msie_hack：这是使 ca 与非常旧版本的 IE 证书注册控制“certenr3”一起工作的不推荐使用的选项。它几乎所有东西都使用 UniversalStrings。由于旧控件存在各种安全漏洞，因此强烈建议不要使用它。
-preserveDN：通常，证书的 DN 顺序与相关策略部分中的字段顺序相同。设置此选项时，顺序与请求相同。这主要是为了与较旧的 IE 注册控件兼容，该控件仅在其 DN 与请求顺序匹配时才接受证书。 Xenroll 不需要这样做。
-noemailDN：证书的 DN 可以包含 EMAIL 字段（如果存在于请求 DN 中），但是，将电子邮件设置到证书的 altName 扩展名中是一个很好的策略。设置此选项时，EMAIL 字段将从证书的主题中删除，并且仅在最终存在的扩展中设置。可以在配置文件中使用 email_in_dn 关键字来启用此行为。
-batch：这将设置批处理模式。在这种模式下，不会询问任何问题，所有证书都将自动获得认证。
-extensions section：包含证书扩展的配置文件部分在颁发证书时添加（默认为 x509_extensions，除非使用 -extfile 选项）。如果不存在扩展部分，则创建 V1 证书。如果扩展部分存在（即使它是空的），则会创建 V3 证书。有关扩展节格式的详细信息，请参阅 x509v3_config(5) 手册页。
-extfile file：用于读取证书扩展的附加配置文件（使用默认部分，除非还使用了 -extensions 选项）。
-engine id：指定引擎（通过其唯一的 id 字符串）将导致 ca 尝试获取对指定引擎的功能引用，从而在需要时对其进行初始化。然后引擎将被设置为所有可用算法的默认值。
-subj arg：取代请求中给出的主题名称。 arg 必须格式化为 /type0=value0/type1=value1/type2=....关键字字符可以用 \（反斜杠）转义，并保留空格。允许为空值，但相应的类型不会包含在生成的证书中。
-utf8：此选项导致字段值被解释为 UTF8 字符串，默认情况下它们被解释为 ASCII。这意味着字段值，无论是从终端提示还是从配置文件中获取，都必须是有效的 UTF8 字符串。
-create_serial：如果从配置中指定的文本文件读取序列号失败，则指定此选项会创建一个新的随机序列号用作下一个序列号。要获取随机序列号，请改用 -rand_serial 标志；这应该只用于简单的错误恢复。
-rand_serial：生成一个大的随机数用作序列号。这会覆盖任何选项或配置以使用序列号文件。
-multivalue-rdn：此选项导致 -subj 参数被解释为完全支持多值 RDN。例子：*/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe*。如果未使用 -multi-rdn，则 UID 值为 123456+CN=John Doe。
-rand file…：一个或多个包含随机数据的文件，用于为随机数生成器提供种子。可以指定多个文件，由一个与操作系统相关的字符分隔。分隔符是 ;对于 MS-Windows，对于 OpenVMS，对于所有其他的 :。
[-writerand file]：退出时将随机数据写入指定文件。这可以与后续的 -rand 标志一起使用。

CRL 选项

-gencrl：此选项根据索引文件中的信息生成 CRL。
-crldays num：下一个 CRL 到期前的天数。那就是从现在到放置在 CRL nextUpdate 字段中的日子。
-crlhours num：下一个 CRL 到期前的小时数。
-revoke filename：包含要撤销的证书的文件名。
-valid filename：包含用于添加有效证书条目的证书的文件名。
-status serial：显示具有指定序列号的证书的吊销状态并退出。
-updatedb：更新数据库索引以清除过期证书。
-crl_reason reason：撤销原因，其中原因是以下之一：未指定、keyCompromise、CACompromise、affiliationChanged、取代、停止操作、证书持有或 removeFromCRL。原因的匹配不区分大小写。设置任何撤销原因将使 CRL v2。实际上 removeFromCRL 并不是特别有用，因为它仅用于当前未实现的增量 CRL。
-crl_hold instruction：这会将 CRL 吊销原因代码设置为 certificateHold，并将保留指令设置为必须是 OID 的指令。尽管任何 OID 都只能使用 holdInstructionNone（RFC2459 不鼓励使用），但通常会使用 holdInstructionCallIssuer 或 holdInstructionReject。
-crl_compromise time：这会将撤销原因设置为 keyCompromise 和不时的妥协。时间应采用 GeneralizedTime 格式，即 YYYYMMDDHHMMSSZ。
-crl_CA_compromise time：这与 crl_compromise 相同，但撤销原因设置为 CACompromise。
-crlexts section：包含要包含的 CRL 扩展的配置文件部分。如果不存在 CRL 扩展部分，则创建 V1 CRL，如果存在 CRL 扩展部分（即使它为空），则创建 V2 CRL。指定的 CRL 扩展是 CRL 扩展而不是 CRL 条目扩展。应该注意的是，某些软件（例如 Netscape）不能处理 V2 CRL。有关扩展节格式的详细信息，请参阅 x509v3_config(5) 手册页。

配置文件选项

包含 ca 选项的配置文件部分如下所示：如果使用 -name 命令行选项，则使用对应的部分。否则，要使用的部分必须在配置文件的 ca 部分（或配置文件的默认部分）的 default_ca 选项中命名。除了 default_ca，以下选项直接从 ca 部分读取：RANDFILE，preserve，msie_hack With the exception of **RANDFILE**, this is probably a bug and may change in future releases.

许多配置文件选项与命令行选项相同。如果选项存在于配置文件和命令行中，则使用命令行值。如果一个选项被描述为强制性的，那么它必须存在于配置文件或使用的命令行等效项（如果有）中。

oid_file：这指定了一个包含附加 OBJECT IDENTIFIERS 的文件。文件的每一行都应包含对象标识符的数字形式，后跟空格，然后是短名称，后跟空格，最后是长名称。
oid_section：这指定了配置文件中包含额外对象标识符的部分。每行应包含对象标识符的短名称，后跟 = 和数字形式。使用此选项时，短名称和长名称相同。
new_certs_dir：与 -outdir 命令行选项相同。它指定将放置新证书的目录。强制的。
certificate：与 -cert 相同。它提供了包含 CA 证书的文件。强制的。
private_key：与 -keyfile 选项相同。包含 CA 私钥的文件。强制的。
RANDFILE：启动时指定的文件被加载到随机数生成器中，并在退出时将写入 256 个字节。
default_days：与 -days 选项相同。认证证书的天数。
default_startdate：与 -startdate 选项相同。认证证书的开始日期。如果未设置，则使用当前时间。
default_enddate：与 -enddate 选项相同。此选项或 default_days（或命令行等效项）必须存在。
default_crl_hours default_crl_days：与 -crlhours 和 -crldays 选项相同。仅当两个命令行选项都不存在时才会使用这些选项。必须至少存在其中之一才能生成 CRL。
default_md：与 -md 选项相同。强制，除非签名算法不需要摘要（即 Ed25519 和 Ed448）。
database：要使用的文本数据库文件。强制的。该文件必须存在，但最初它是空的。
unique_subject：如果给出值 yes，则数据库中的有效证书条目必须具有唯一的主题。如果给出值 no，则几个有效的证书条目可能具有完全相同的主题。默认值为 yes，以兼容旧版本（0.9.8 之前）的 OpenSSL。但是，为了使 CA 证书翻转更容易，建议使用值 no，尤其是与 -selfsign 命令行选项结合使用时。请注意，在某些情况下创建没有任何主题的证书是有效的。在有多个没有主题的证书的情况下，这不算作重复。
serial：包含下一个要使用的十六进制序列号的文本文件。强制的。该文件必须存在并包含有效的序列号。
crlnumber：包含下一个要使用的十六进制 CRL 编号的文本文件。仅当此文件存在时，crl 编号才会插入到 CRL 中。如果此文件存在，则它必须包含有效的 CRL 编号。
x509_extensions：与 -extensions 相同。
crl_extensions：与 -crlexts 相同。
preserve：与 -preserveDN 相同
email_in_dn：与 -noemailDN 相同。如果您想从证书的 DN 中删除 EMAIL 字段，只需将其设置为“否”。如果不存在，则默认允许在证书的 DN 中提交 EMAIL。
msie_hack：与 -msie_hack 相同
policy：与 -policy 相同。强制的。有关详细信息，请参阅政策格式部分。
name_opt, cert_opt：这些选项允许在要求用户确认签名时显示证书详细信息的格式。 x509 实用程序 -nameopt 和 -certopt 开关支持的所有选项都可以在此处使用，除了 no_signame 和 no_sigdump 是永久设置且无法禁用（这是因为证书尚未在此处签名，因此无法显示证书签名）观点）。为方便起见，两者都接受值 ca_default 以产生合理的输出。如果两个选项都不存在，则使用早期版本的 OpenSSL 中使用的格式。强烈建议不要使用旧格式，因为它只显示策略部分中提到的字段，错误处理多字符串类型并且不显示扩展名。
copy_extensions：确定应如何处理证书请求中的扩展。如果设置为 none 或此选项不存在，则扩展名将被忽略并且不会复制到证书中。如果设置为复制，则请求中存在但尚未存在的任何扩展都将复制到证书中。如果设置为 copyall，则请求中的所有扩展都将复制到证书中：如果扩展已存在于证书中，则首先将其删除。在使用此选项之前，请参阅警告部分。此选项的主要用途是允许证书请求为某些扩展提供值，例如 subjectAltName。

策略格式

策略部分由一组对应于证书 DN 字段的变量组成。如果值为“match”，则字段值必须与 CA 证书中的相同字段匹配。如果该值是“supplied”，那么它必须存在。如果该值为“optional”，则它可能存在。除非设置了 -preserveDN 选项，否则策略部分中未提及的任何字段都将被静默删除，但这更像是一种怪癖，而不是预期的行为。

SPKAC 格式

-spkac 命令行选项的输入是 Netscape 签名的公钥和质询。这通常来自 HTML 表单中的 KEYGEN 标记以创建新的私钥。但是，可以使用 spkac 实用程序创建 SPKAC。

该文件应包含设置为 SPKAC 值的变量 SPKAC 以及作为名称值对的所需 DN 组件。如果您需要两次包含相同的组件，则可以在其前面加上一个数字和一个“.”。

处理 SPKAC 格式时，如果使用 -out 标志，则输出为 DER，但如果发送到 stdout 或使用 -outdir 标志，则输出为 PEM 格式。

示例

注意：这些示例假设 ca 目录结构已经设置并且相关文件已经存在。这通常涉及使用 req、序列号文件和空索引文件创建 CA 证书和私钥，并将它们放在相关目录中。

要使用 demoCA、demoCA/private 和 demoCA/newcerts 目录下的示例配置文件。 CA 证书将复制到 demoCA/cacert.pem，并将其私钥复制到 demoCA/private/cakey.pem。将创建一个文件 demoCA/serial，其中包含例如“01”和空索引文件 demoCA/index.txt。

签署证书请求：

openssl ca -in req.pem -out newcert.pem

使用 CA 扩展签署证书请求：

openssl ca -in req.pem -extensions v3_ca -out newcert.pem

生成 CRL

openssl ca -gencrl -out crl.pem

签署几个请求:

openssl ca -infiles req1.pem req2.pem req3.pem

认证 Netscape SPKAC:

openssl ca -spkac spkac.txt

一个示例 SPKAC 文件（为清楚起见，SPKAC 行已被截断）：

SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Steve Test
emailAddress=steve@openssl.org
0.OU=OpenSSL Group
1.OU=Another Group

带有 ca 相关部分的示例配置文件：

[ ca ]
default_ca      = CA_default            # The default ca section
[ CA_default ]
dir            = ./demoCA              # top dir
database       = $dir/index.txt        # index file.
new_certs_dir  = $dir/newcerts         # new certs dir
certificate    = $dir/cacert.pem       # The CA cert
serial         = $dir/serial           # serial no file
#rand_serial    = yes                  # for random serial#'s
private_key    = $dir/private/cakey.pem# CA private key
RANDFILE       = $dir/private/.rand    # random number file
default_days   = 365                   # how long to certify for
default_crl_days= 30                   # how long before next CRL
default_md     = md5                   # md to use
policy         = policy_any            # default policy
email_in_dn    = no                    # Don't add the email into cert DN
name_opt       = ca_default            # Subject name display option
cert_opt       = ca_default            # Certificate display option
copy_extensions = none                 # Don't copy extensions from request
[ policy_any ]
countryName            = supplied
stateOrProvinceName    = optional
organizationName       = optional
organizationalUnitName = optional
commonName             = supplied
emailAddress           = optional

文件

注意：所有文件的位置都可以通过编译时选项、配置文件条目、环境变量或命令行选项进行更改。下面的值反映了默认值。

./demoCA                       - main CA directory
./demoCA/cacert.pem            - CA certificate
./demoCA/private/cakey.pem     - CA private key
./demoCA/serial                - CA serial number file
./demoCA/serial.old            - CA serial number backup file
./demoCA/index.txt             - CA text database file
./demoCA/index.txt.old         - CA text database backup file
./demoCA/certs                 - certificate output file
./demoCA/.rnd                  - CA random seed information

限制

文本数据库索引文件是该过程的关键部分，如果损坏，可能难以修复。理论上可以从所有颁发的证书和当前的 CRL 重建索引文件：但是没有选择这样做。

目前不支持 V2 CRL 功能，如 delta CRL。

尽管可以同时输入和处理多个请求，但只能包含一个 SPKAC 或自签名证书。

BUGS

当存在大量证书时，使用内存中的文本数据库可能会导致问题，因为顾名思义，数据库必须保存在内存中。 ca 命令确实需要重写或在命令或接口级别公开所需的功能，以便更友好的实用程序（perl 脚本或 GUI）可以正确处理事情。脚本 CA.pl 有一点帮助，但不是很多。请求中不存在于策略中的任何字段都将被静默删除。如果使用 -preserveDN 选项，则不会发生这种情况。如 RFC 所建议的，要强制 DN 中不存在 EMAIL 字段，无论请求主题的内容如何，都可以使用 -noemailDN 选项。行为应该更加友好和可配置。通过拒绝验证证书来取消某些命令会创建一个空文件。

WARNINGS

ca 命令很古怪，有时完全不友好。

ca 实用程序最初的目的是作为如何在 CA 中做事的示例。它本身不应该用作完整的 CA：尽管如此，有些人正在为此目的使用它。

ca 命令实际上是一个单用户命令：不会对各种文件进行锁定，并且尝试在同一个数据库上运行多个 ca 命令可能会产生不可预知的结果。

应谨慎使用 copy_extensions 选项。如果不小心，则可能存在安全风险。例如，如果一个证书请求包含一个带有 CA:TRUE 的 basicConstraints 扩展，并且 copy_extensions 值设置为 copyall，并且在显示证书时用户没有发现这一点，那么这将给请求者一个有效的 CA 证书。

这种情况可以通过将 copy_extensions 设置为 copy 并在配置文件中包含带有 CA:FALSE 的 basicConstraints 来避免。然后，如果请求包含 basicConstraints 扩展，它将被忽略。

建议还包括其他扩展的值，例如 keyUsage 以防止请求提供自己的值。

可以对 CA 证书本身施加额外的限制。例如，如果 CA 证书具有：

basicConstraints = CA:TRUE, pathlen:0

HISTORY

从 OpenSSL 1.1.1 开始，程序遵循 RFC5280。具体来说，如果日期早于 2049 年（包括），证书有效期（由 -startdate、-enddate 和 -days 中的任何一个指定）将被编码为 UTCTime，如果日期在 2050 年或更晚，则将被编码为 GeneralizedTime。

COPYRIGHT

Licensed under the OpenSSL license (the “License”). You may not use this file except in compliance with the License. You can obtain a copy in the file LICENSE in the source distribution or at https://www.openssl.org/source/license.html.

译者修改的一个配置文件

参考自：《openssl-cookbook-中文版》 1.4 创建私有证书颁发机构

name = gw_ca
default_ca = CA_default # The default ca section[ca_dn]
countryName = "Mars"
stateOrProvinceName = "Corbett"
localityName = "Corbett"
organizationName = "Cosmos Corporation"
organizationalUnitName = "Cosmos Corporation Mars part "
commonName = "dacao"[CA_default]
home = .
database = $home/db/index # 要使用的文本数据库文件。强制的。该文件必须存在，但最初它是空的。
serial = $home/db/serial # 包含下一个要使用的十六进制序列号的文本文件。强制的。该文件必须存在并包含有效的序列号。
certificate = $home/${name}_cert.pem
private_key = $home/private/${name}_private_key.pem
# RANDFILE = $home/private/random
new_certs_dir = $home/certs # 定义证书放置位置。
# unique_subject = no
# copy_extensions = none
default_days = 3650
# default_crl_days = 365
default_md = sha256
policy = policy_c_o_match # 与 -policy 相同。强制的。[policy_c_o_match] # 策略全部为可选，没有进行限制
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = optional
emailAddress = optional[req]
default_bits = 2048 # 不使用-key选项时，-new根据该提示信息，生成RSA秘钥
encrypt_key = no # 秘钥不进行加密
default_md = sha256
utf8 = yes # 如果设置为值 yes 则字段值将被解释为 UTF8 字符串，默认情况下它们被解释为 ASCII。这意味着字段值，无论是从终端提示还是从配置文件中获取，都必须是有效的 UTF8 字符串。
prompt = no # 如果设置为值 no 这将禁用证书字段的提示，并且直接从配置文件中获取值。它还更改了 distinct_name 和 attributes 部分的预期格式。这个必须有，否则会报错：https://github.com/openssl/openssl/issues/3536
distinguished_name = ca_dn
req_extensions = ca_ext # 添加到证书请求的扩展列表中[ca_ext]
basicConstraints = critical,CA:true # CA证书必须设置为true；用户证书必须设置成false
# keyUsage = critical,keyCertSign,cRLSign
# subjectKeyIdentifier = hash

下面，我们使用配置文件，创建CA。

➜  mkdir  mkdir certs db private
➜  chmod 700 private
➜  touch db/index # 保存签发过的证书的索引
➜  openssl rand -hex 16 > db/serial # 自签名证书的序列号# 生成秘钥和证书签名申请文件
➜  openssl req -new -config ca.conf -out gw_ca_csr.pem -keyout private/gw_ca_private_key.pem# 创建自签名证书
➜  openssl ca -selfsign -config ca.conf -extensions ca_ext -in gw_ca_csr.pem -out gw_ca_cert.pem

openssl ca文档翻译相关推荐

openssl ca(签署和自建CA)
openssl ca(签署和自建CA) 自建CA总结: #建立数据库索引文件和序列文件 [root@linux5 ~]# touch /etc/pki/CA/index.txt [root@linux ...
Linux 使用openssl ca方式签发证书
前言 Linux 使用openssl x509方式签发证书(推荐用这种方式):https://blog.csdn.net/QianLiStudent/article/details/109818208 ...
openssl CA
建立 CA 建立 CA 目录结构按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构.相关的配置内容一般位于/usr/ssl/openssl.cnf (SUSE => ...
Openssl私建CA
构建私有CA: 在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可: 步骤: (1) 生成私钥: [root@centos7 ~]# (umask 077; ope ...
22.加密与安全相关,证书申请CA（gpg，openssl)
安全机制信息安全防护的目标保密性 Confidentiality 完整性 Integrity 可用性 Usability 可控制性 Controlability 不可否认性 Non-repudia ...
openssl私有ca创建
使用pki的ca颁发证书需要交使用费,而这时又不想花钱,就可以自建ca. 密钥颁发机构 CA:Certification Authority 数字证书认证中心,解决数字证书所有者公开的公钥身份确认.一 ...
简述ssl协议及利用openssl创建私有CA
我在这个链接中简单的介绍了下加密解密原理和相关算法及其实现:http://starli.blog.51cto.com/8813574/1671408 CA是什么?为什么需要CA? 先看下面的互联网安全 ...
openssl实现CA自签证书和颁发数字证书
1. 测试环境准备: CA签署服务器:192.168.2.181 WEB服务器:192.168.2.180 CA安装openssl WEB服务器使用nginx 2. CA生成自签证书: 2.1 为C ...
openssl 自建CA签发证书网站https的ssl通信
<<COMMENT X509 文件扩展名首先我们要理解文件的扩展名代表什么.DER.PEM.CRT和CER这些扩展名经常令人困惑. 很多人错误地认为这些扩展名可以互相代替.尽管的确有时候 ...
创建自己的CA机构 - openssl cert 双向认证
为什么80%的码农都做不了架构师?>>> 1. 创建 openssl.cnf [ ca ] default_ca = subchen_ca[ subchen_ca ] cert ...

openssl ca文档翻译