构建自签完整的CA证书链,可在线吊销证书
作者:欧阳 发布时间:2021年06月08日 阅读: 10,529 分类:技术相关
利用XCA构建自签完整的CA证书链,可在线吊销证书,特别适合构建内部网络自签的SSL证书。如银行、集团、医院等对系统安全性有要求的场景。
虽然CRL是个逐渐过时的技术,但在内部网络部署还是非常适合,现在有个简单的XCA工具就能实现。
下载地址:https://hohnstaedt.de/xca/
XCA证书界面:
新建数据库,选择数据库保存文件夹,新建ouyang.xdb,设置密码点击保存即可。
新建数据库后,选择秘钥的标签,创建秘钥。
参数默认,点击创建即可
再选择证书标签,开始创建CA根证书。
使用模板创建新证书(选择CA即可),应用模板所有信息即可。
X509V3的密钥用法可在选一些,我这里随便选了一些,可参考DigiCert CA的一些用法。
主体CN、OU、O、C基础信息根据所需进行填写,我这里参考DigiCert的Root CA证书填写。
再切换到拓展,我这里签发个30年的CA根证书。
点击OK后,即签发成功。
自此CA根证书就已签发成功了。
再就是利用CA证书签发域名证书,也可以签发中间证书,利用X509V3 CRL Distribution Points填写吊销列表内部地址即可完成。
如要吊销证书,将吊销的清单生成后放入服务器即可。
XCA工具非常强大,还需要再进行研究研究。
如内部网络使用XCA进行管理签发,对各业务系统逐个签发还是可行的,并且还可以在线吊销证书,已经能够媲美十几二十万的证书管理系统了。
如果您还有什么疑惑或建议,欢迎在下方评论区继续讨论。
如果您觉得本文还不错,欢迎分享/打赏本文。当然,如果你无视它,也不会影响你的阅读。再次表示欢迎和感谢!
感谢分享 赞一个