构建自签完整的CA证书链，可在线吊销证书

利用XCA构建自签完整的CA证书链，可在线吊销证书，特别适合构建内部网络自签的SSL证书。如银行、集团、医院等对系统安全性有要求的场景。 虽然CRL是个逐渐过时的技术，但在内部网络部署还是非常适合，现在有个简单的XCA工具就能实现。 下载地址：https://hohnstaedt.de/xca/ XCA证书界面： 新建数据库，选择数据库保存文件夹，新建ouyang.xdb，设置密码点击保存即可。 新建数据库后，选择秘钥的标签，创建秘钥。

参数默认，点击创建即可 再选择证书标签，开始创建CA根证书。 使用模板创建新证书（选择CA即可），应用模板所有信息即可。 X509V3的密钥用法可在选一些，我这里随便选了一些，可参考DigiCert CA的一些用法。 主体CN、OU、O、C基础信息根据所需进行填写，我这里参考DigiCert的Root CA证书填写。 再切换到拓展，我这里签发个30年的CA根证书。 点击OK后，即签发成功。 自此CA根证书就已签发成功了。 再就是利用CA证书签发域名证书，也可以签发中间证书，利用X509V3 CRL Distribution Points填写吊销列表内部地址即可完成。 如要吊销证书，将吊销的清单生成后放入服务器即可。 XCA工具非常强大，还需要再进行研究研究。 如内部网络使用XCA进行管理签发，对各业务系统逐个签发还是可行的，并且还可以在线吊销证书，已经能够媲美十几二十万的证书管理系统了。