附录-A-用于测试的 OpenSSl CA 证书
免责声明
提供此页面仅用于测试目的,证书仅用于测试目的。
以下教程提供了一些有关创建测试 x.509证书的准则 :
- 请勿将这些证书用于生产。相反,请遵循您的安全策略。
- 有关 OpenSSL 的信息,请参考官方的 OpenSSL 文档。尽管本教程使用的是 OpenSSL,但不应将本材料当作 OpenSSL 的权威参考。
以下过程概述了创建测试 CA PEM 文件的步骤。该过程同时创建 CA PEM 文件和中间授权证书以及用于签署服务器/客户端测试证书的密钥文件。
- 1.创建具有以下内容的配置文件
openssl-test-ca.cnf
:# NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.# 不用于生产用途。用于测试的OpenSSL配置文件。# For the CA policy# 对于CA策略[ policy_match ]countryName = matchstateOrProvinceName = matchorganizationName = matchorganizationalUnitName = optionalcommonName = suppliedemailAddress = optional[ req ]default_bits = 4096default_keyfile = myTestCertificateKey.pem ## The default private key file name.## 默认私钥文件名default_md = sha256 ## Use SHA-256 for Signatures## 使用SHA-256签名distinguished_name = req_dnreq_extensions = v3_reqx509_extensions = v3_ca # The extentions to add to the self signed cert[ v3_req ]subjectKeyIdentifier = hashbasicConstraints = CA:FALSEkeyUsage = critical, digitalSignature, keyEnciphermentnsComment = "OpenSSL Generated Certificate for TESTING only. NOT FOR PRODUCTION USE."extendedKeyUsage = serverAuth, clientAuth[ req_dn ]countryName = Country Name (2 letter code)countryName_default =countryName_min = 2countryName_max = 2stateOrProvinceName = State or Province Name (full name)stateOrProvinceName_default = TestCertificateStateNamestateOrProvinceName_max = 64localityName = Locality Name (eg, city)localityName_default = TestCertificateLocalityNamelocalityName_max = 64organizationName = Organization Name (eg, company)organizationName_default = TestCertificateOrgNameorganizationName_max = 64organizationalUnitName = Organizational Unit Name (eg, section)organizationalUnitName_default = TestCertificateOrgUnitNameorganizationalUnitName_max = 64commonName = Common Name (eg, YOUR name)commonName_max = 64[ v3_ca ]# Extensions for a typical CA# 典型CA的扩展subjectKeyIdentifier=hashbasicConstraints = critical,CA:trueauthorityKeyIdentifier=keyid:always,issuer:always- 1.可选。您可以更新默认专有名称(DN)值。
- 1.创建测试 CA 密钥文件
mongodb-test-ca.key
。 复制openssl genrsa -out mongodb-test-ia.key 4096提示:此私钥用于为CA生成有效证书。尽管此私钥与本附录中的所有文件一样,仅用于测试目的,但您应遵循良好的安全惯例并保护此密钥文件。 - 2.
mongod-test-ca.crt
使用生成的密钥文件创建CA证书。当要求提供专有名称值时,为您的测试CA证书输入适当的值。 复制openssl req -new -x509 -days 1826 -key mongodb-test-ca.key -out mongodb-test-ca.crt -config openssl-test-ca.cnf - 3.创建中间证书的私钥openssl genrsa -out mongodb-test-ia.key 4096提示:此私钥用于为中间机构生成有效的证书。尽管此私钥与本附录中的所有文件一样,仅用于测试目的,但您应遵循良好的安全惯例并保护此密钥文件。
- 4.为中间证书创建证书签名请求。当要求提供专有名称值时,请为您的测试中间机构证书输入适当的值。openssl req -new -key mongodb-test-ia.key -out mongodb-test-ia.csr -config openssl-test-ca.cnf
- 5.创建中间证书
mongodb-test-ia.crt
。复制openssl x509 -sha256 -req -days 730 -in mongodb-test-ia.csr -CA mongodb-test-ca.crt -CAkey mongodb-test-ca.key -set_serial 01 -out mongodb-test-ia.crt -extfile openssl-test-ca.cnf -extensions v3_ca
也可以看看
译者:谢伟成
最近更新 1yr ago