使用您自己的证书颁发机构 (CA)

在一般情况下，最好使用由全球信任的根证书颁发机构 (CA) 签署的证书。有许多 CA 受到所有主要浏览器和操作系统的信任，可用于签署证书以与https服务器一起使用。

如果系统架构使得使用全球信任的 CA 变得不切实际，仍然可以将客户端浏览器和操作系统设置为信任自签名证书，从而避免安全错误或向最终用户显示警告。

一种方法是简单地将证书添加到客户端浏览器或操作系统的信任库中；但是，这需要对生成的每个证书进行。更好A方法是创建自己的根证书颁发机构并使用它来签署每个服务器证书。

为此，需要使用您自己的证书颁发机构 (CA) 证书和密钥对 SSL 证书进行签名，并且需要告知客户端（浏览器、操作系统）信任 CA 证书。将 CA 添加到客户端的说明因使用的操作系统或浏览器而异。

创建证书颁发机构

创建证书颁发机构证书的方法有很多；然而，OpenSSL 工具包是最简单、最全面的工具包之一。顾名思义，OpenSSL 是一个用于 SSL/TLS 的源工具包；详情见官网。您需要下载并安装适合您环境的 OpenSSL 产品。

要创建 CA，请执行以下两个步骤：

1. 生成新的密钥和证书请求。
2. 自签名请求以生成 CA 证书。

1 .生成新密钥和证书请求

这可以通过多个步骤完成，或者通过从现有密钥文件生成，但为简单起见，可以在一个命令中生成新密钥和新请求。此示例显示如何为名为“我的公司”的公司创建请求。将此更改为更适合您的组织的内容：

• openssl req -new -sha256 -nodes -newkey rsa:4096 -subj "/O=My Company/CN=My Company Internal CA" -keyout MyCompanyCA.key -out MyCompanyCA.csr

2. 自签名请求以生成 CA 证书

此步骤自签名 CA 证书请求，并使 CA 有效期为1年（-days 365）。更改'我的公司

' 来匹配上一步生成的key和csr请求：

• openssl x509 -req -sha256 -in MyCompanyCA.csr -signkey MyCompanyCA.key -days 365 -out MyCompanyCA.crt

创建服务器证书并使用 CA 对其进行签名

现在生成了 MyCompanyCA.crt，它可用于为云服务器或WebEA签署您自己的证书。

首先，如同在自签名 SSL 证书帮助主题中一样，创建一个新的证书请求。此示例为名为“云.mycompany.com”的服务器创建一个新的密钥和证书请求：

• openssl req -new -nodes -newkey rsa:4096 -subj "/CN=cloud.mycompany.com"云cloud.mycompany.com.key -out云

• openssl x509 -req -CA MyCompanyCA.crt -CAkey MyCompanyCA.key -CAcreateserial -sha256 -days 365 -in云-out云

• 窗口：复制/b云.mycompany.com.crt+cloud.mycompany.com.key server.pem
• Linux：cat云.mycompany.com.crt云.mycompany.com.key > server.pem

让客户信任根CA

客户端操作系统或浏览器现在需要将 CA 证书添加到其受信任的 CA 列表中。说明因操作系统和浏览器而异，但此处列出了一些主要客户的说明。对于所有这些步骤，所指的“证书”是第 2节中生成的“MyCompanyCA.crt”。