Зачем мне нужен сертификат, чтобы создать свой собственный самоподписанный сертификат?

В последние несколько дней я пытался понять историю сертификатов, и я понял их основной принцип, но я не понял этого шага, когда мы создали сертификат CA для подписи моего собственного сертификата сервера.

Я суммирую здесь то, что я понял о создании новых сертификатов для использования их со службами на моем сервере, и, пожалуйста, скажите мне, если все в порядке, и помогите мне понять моменты, которые я упускаю или не понимаю:

  1. Я создаю свой личный ключ случайным образом (server.key)

  2. Я генерирую свой открытый ключ в соответствии с предыдущим открытым ключом (server.csr), и этот файл является обычным сертификатом, но без какой-либо подписи.

  3. Я повторяю последние два шага, чтобы получить ca.key и ca.csr. и позвольте им как-то подписать себя, чтобы получить ca.crt (я не понимаю процесс самоподписания здесь).

  4. используйте их, чтобы подписать мой server.csr, чтобы получить server.crt.

Что я не понимаю, если я смог самостоятельно подписать файлы на шаге 3, почему я не смог просто сделать первые два шага и позволить им подписать себя, чтобы получить этот файл server.crt?

Я считаю, что я что-то неправильно понимаю в процессе самоподписания, но, к сожалению, я видел много видео и прочитал много статей, но ничто не помогло исправить это.

1 ответ

Решение

Конечно, вы могли бы сделать это.

Ваш полный процесс - это даже не то, что обычно называют "самоподписанием" - вы фактически создаете целую иерархию CA здесь. В некоторых руководствах рекомендуется сделать это, чтобы упростить будущие замены сертификатов - вместо того, чтобы обновлять все клиенты для нового самозаверяющего сертификата, нужно лишь один раз заставить их доверять пользовательскому ЦС.

Кроме того, некоторые люди используют термин "самоподписанный" для любого сертификата, который не является доверенным по умолчанию. Такое использование неверно, поскольку технически все сертификаты root-CA также являются самозаверяющими, но возможно, что ваше руководство использовало его таким образом.

Другие вопросы по тегам