[ssl] 您如何與您的認證機構簽署證書籤名請求?


0 Answers

除了@jww的回答之外,我想說的是在openssl-ca.cnf中的配置

default_days     = 1000         # how long to certify for

定義由root-ca簽名的證書的默認天數是有效的,為了設置root-ca本身的有效性,您應該使用“-days n”選項

openssl req -x509 -days 3000 -config openssl-ca.cnf -newkey rsa:4096 -sha256 -nodes -out cacert.pem -outform PEM

如果沒有這樣做,您的root-ca將僅在默認1個月內有效,並且此rot-ca簽名的任何證書也將具有1個月的有效期。

Question

在我的搜索過程中,我發現了幾種簽署SSL證書籤名請求的方法:

  1. 使用x509模塊:

    openssl x509 -req -days 360 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
    
  2. 使用ca模塊:

    openssl ca -cert ca.crt -keyfile ca.key -in server.csr -out server.crt
    

注:我不確定使用這個正確的參數。 如果我要使用它,請告知正確的用法。

用什麼方式來與您的認證中心簽署證書請求? 一種方法比另一種更好嗎(例如,一種方法被棄用)?




Related