预订演示
前页 后页

使用您自己的证书颁发机构 (CA)

在一般情况下,最好使用由全球信任的根证书颁发机构 (CA) 签署的证书。有许多 CA 受到所有主要浏览器和操作系统的信任,可用于签署证书以与https服务器一起使用。

如果系统架构使得使用全球信任的 CA 变得不切实际,仍然可以将客户端浏览器和操作系统设置为信任自签名证书,从而避免安全错误或向最终用户显示警告。

一种方法是简单地将证书添加到客户端浏览器或操作系统的信任库中;但是,这需要对生成的每个证书进行。更好A方法是创建自己的根证书颁发机构并使用它来签署每个服务器证书。

为此,需要使用您自己的证书颁发机构 (CA) 证书和密钥对 SSL 证书进行签名,并且需要告知客户端(浏览器、操作系统)信任 CA 证书。将 CA 添加到客户端的说明因使用的操作系统或浏览器而异。

创建证书颁发机构

创建证书颁发机构证书的方法有很多;然而,OpenSSL 工具包是最简单、最全面的工具包之一。顾名思义,OpenSSL 是一个用于 SSL/TLS 的源工具包;详情见官。您需要下载并安装适合您环境的 OpenSSL 产品。

要创建 CA,请执行以下两个步骤:

  1. 生成新的密钥和证书请求。
  2. 自签名请求以生成 CA 证书。

1 .生成新密钥和证书请求

这可以通过多个步骤完成,或者通过从现有密钥文件生成,但为简单起见,可以在一个命令中生成新密钥和新请求。此示例显示如何为名为“我的公司”的公司创建请求。将此更改为更适合您的组织的内容:

  • openssl req -new -sha256 -nodes -newkey rsa:4096 -subj "/O=My Company/CN=My Company Internal CA" -keyout MyCompanyCA.key -out MyCompanyCA.csr

2. 自签名请求以生成 CA 证书

此步骤自签名 CA 证书请求,并使 CA 有效期为1年(-days 365)。更改'我的公司

' 来匹配上一步生成的key和csr请求:

  • openssl x509 -req -sha256 -in MyCompanyCA.csr -signkey MyCompanyCA.key -days 365 -out MyCompanyCA.crt

创建服务器证书并使用 CA 对其进行签名

现在生成了 MyCompanyCA.crt,它可用于为云服务器或WebEA签署您自己的证书。

首先,如同在自签名 SSL 证书帮助主题中一样,创建一个新的证书请求。此示例为名为“云.mycompany.com”的服务器创建一个新的密钥和证书请求:

  • openssl req -new -nodes -newkey rsa:4096 -subj "/CN=cloud.mycompany.com"云cloud.mycompany.com.key -out云
使用 CA 签署新证书请求:
  • openssl x509 -req -CA MyCompanyCA.crt -CAkey MyCompanyCA.key -CAcreateserial -sha256 -days 365 -in云-out云
与专业云服务器一起使用的最后一步是将密钥和证书连接到“server.pem”文件中:
  • 窗口:复制/b云.mycompany.com.crt+cloud.mycompany.com.key server.pem
  • Linux:cat云.mycompany.com.crt云.mycompany.com.key > server.pem
有关配置专业云服务器以使用此证书的详细信息,请参阅使用 HTTPS (SSL)主题。

让客户信任根CA

客户端操作系统或浏览器现在需要将 CA 证书添加到其受信任的 CA 列表中。说明因操作系统和浏览器而异,但此处列出了一些主要客户的说明。对于所有这些步骤,所指的“证书”是第 2节中生成的“MyCompanyCA.crt”。

客户端(系统、浏览器)

指示

也见

微软窗口

右键单击 CA 证书文件并选择“安装证书”。按照提示为当前用户或计算机的所有用户添加证书到信任库。

Linux - Ubuntu

将 CA 证书复制到 /usr/local/share/ca-certificates

例如:

  • sudo cp ~/MyCompanyCA.crt /usr/local/share/ca-certificates/
使用以下命令更新证书:
  • sudo update-ca-certificates
输出应显示类似于“正在添加 debian:~/MyCompanyCA.pem”的内容。

如果使用Wine ,则关闭所有Wine程序并重新启动Wine :

  • 葡萄酒服务器 -k
有关更多信息,请参阅帮助帮助。

火狐

Firefox 不使用操作系统信任库,因此必须手动添加 CA。

如果证书具有“.pem”扩展名,那么最简单的方法是将 CA 证书文件拖放到 Firefox 上;提示将要求您信任证书。

否则,手动添加证书并通过 Firefox 的隐私和安全首选项管理添加的证书。

更多信息可以在Firefox wiki上找到。

铬/铬

Chrome 和 Chromium 不使用操作系统信任库,因此需要手动添加 CA。

打开设置>高级>管理证书>权限选择“导入”

IE浏览器

Internet Explorer 使用窗口存储,因此将证书添加到窗口(请参阅此表中的第一个条目)足以为浏览器添加信任。

WebEA

WebEA使用 PHP/curl 与Pro云模型进行通信。如果 PHP 和Pro云之间的连接使用 HTTPS,那么可以将 CA 添加到 PHP 的配置中以允许它信任证书。

配置WebEA以信任您自己的证书颁发机构 (CA)