附录-A-用于测试的 OpenSSl CA 证书

免责声明

提供此页面仅用于测试目的，证书仅用于测试目的。

以下教程提供了一些有关创建测试 x.509证书的准则 ：

• 请勿将这些证书用于生产。相反，请遵循您的安全策略。

• 有关 OpenSSL 的信息，请参考官方的 OpenSSL 文档。尽管本教程使用的是 OpenSSL，但不应将本材料当作 OpenSSL 的权威参考。

过程

以下过程概述了创建测试 CA PEM 文件的步骤。该过程同时创建 CA PEM 文件和中间授权证书以及用于签署服务器/客户端测试证书的密钥文件。

A.创建OpenSSL配置文件

1. 创建具有以下内容的配置文件 openssl-test-ca.cnf：

   复制

   # NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.
   # 不用于生产用途。用于测试的OpenSSL配置文件。
   
   # For the CA policy
   # 对于CA策略
   
   [ policy_match ]
   countryName = match
   stateOrProvinceName = match
   organizationName = match
   organizationalUnitName = optional
   commonName = supplied
   emailAddress = optional
   
   [ req ]
   default_bits = 4096
   default_keyfile = myTestCertificateKey.pem    ## The default private key file name. 
                                                 ## 默认私钥文件名
   default_md = sha256                           ## Use SHA-256 for Signatures
                                                 ## 使用SHA-256签名
   distinguished_name = req_dn
   req_extensions = v3_req
   x509_extensions = v3_ca # The extentions to add to the self signed cert
   
   [ v3_req ]
   subjectKeyIdentifier  = hash
   basicConstraints = CA:FALSE
   keyUsage = critical, digitalSignature, keyEncipherment
   nsComment = "OpenSSL Generated Certificate for TESTING only.  NOT FOR PRODUCTION USE."
   extendedKeyUsage  = serverAuth, clientAuth
   
   [ req_dn ]
   countryName = Country Name (2 letter code)
   countryName_default =
   countryName_min = 2
   countryName_max = 2
   
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = TestCertificateStateName
   stateOrProvinceName_max = 64
   
   localityName = Locality Name (eg, city)
   localityName_default = TestCertificateLocalityName
   localityName_max = 64
   
   organizationName = Organization Name (eg, company)
   organizationName_default = TestCertificateOrgName
   organizationName_max = 64
   
   organizationalUnitName = Organizational Unit Name (eg, section)
   organizationalUnitName_default = TestCertificateOrgUnitName
   organizationalUnitName_max = 64
   
   commonName = Common Name (eg, YOUR name)
   commonName_max = 64
   
   [ v3_ca ]
   # Extensions for a typical CA
   # 典型CA的扩展
   subjectKeyIdentifier=hash
   basicConstraints = critical,CA:true
   authorityKeyIdentifier=keyid:always,issuer:always

   1. 可选。您可以更新默认专有名称(DN)值。

B. 生成测试 CA PEM 文件

1. 创建测试 CA 密钥文件 mongodb-test-ca.key。 复制

   复制

   openssl genrsa -out mongodb-test-ia.key 4096

   提示:

   此私钥用于为CA生成有效证书。尽管此私钥与本附录中的所有文件一样，仅用于测试目的，但您应遵循良好的安全惯例并保护此密钥文件。

2. mongod-test-ca.crt使用生成的密钥文件创建CA证书。当要求提供专有名称值时，为您的测试CA证书输入适当的值。 复制

   复制

   openssl req -new -x509 -days 1826 -key mongodb-test-ca.key -out mongodb-test-ca.crt -config openssl-test-ca.cnf

3. 创建中间证书的私钥

   复制

   openssl genrsa -out mongodb-test-ia.key 4096

   提示:

   此私钥用于为中间机构生成有效的证书。尽管此私钥与本附录中的所有文件一样，仅用于测试目的，但您应遵循良好的安全惯例并保护此密钥文件。

4. 为中间证书创建证书签名请求。当要求提供专有名称值时，请为您的测试中间机构证书输入适当的值。

   复制

   openssl req -new -key mongodb-test-ia.key -out mongodb-test-ia.csr -config openssl-test-ca.cnf

5. 创建中间证书mongodb-test-ia.crt。

   复制

   复制

   openssl x509 -sha256 -req -days 730 -in mongodb-test-ia.csr -CA mongodb-test-ca.crt -CAkey mongodb-test-ca.key -set_serial 01 -out mongodb-test-ia.crt -extfile openssl-test-ca.cnf -extensions v3_ca

6. 从测试的 CA 证书 mongod-test-ca.crt 和测试的中间证书 mongodb-test-ia.crt 创建测试的 CA PEM 文件。

   你可以使用测试的 PEM 文件为 TLS/SSL 测试配置mongod， mongos或者mongo。 您可以使用测试中间权限来为服务器和客户端签署测试证书。单个机构必须为客户端和服务器都颁发证书。

也可以看看

• 附录B-用于测试的OpenSSL服务器证书

• 附录C-用于测试的OpenSSL客户端证书

译者：谢伟成