ここ数日、証明書の仕組みを理解しようとしていましたが、証明書の基本原理は理解できましたが、自分のサーバー証明書に署名するために CA 証明書を作成する手順は理解していませんでした。
ここでは、サーバーのサービスで使用するための新しい証明書の作成について私が理解したことを要約します。すべてが正しいかどうかを教えてください。また、私が見逃したり理解していない点について教えてください。
私は自分の秘密鍵をランダムに作成します(サーバーキー)
前回の公開鍵に基づいて公開鍵を生成します(サーバー.csr)、このファイルは署名されていない通常の証明書です。
最後の2つのステップを繰り返してca.key と ca.csr.そして、彼らに何らかの方法で署名させ、ca.crt(ここでの自己署名プロセスは理解できません)。
署名に使用してくださいサーバー.csr取得するためサーバー.crt。
私が理解できないのは、ステップ3でファイルに自分で署名できるのに、なぜ最初の2つのステップを簡単に実行して、自分で署名させなかったのかということです。サーバー.crtファイル?
私は自己署名プロセスについて何かを誤解していると思いますが、残念ながら、多くのビデオを見て、多くの記事を読みましたが、それを修正するのに役立つものは何もありませんでした。
答え1
もちろん、そうすることもできます。
完全なプロセスない通常は「自己署名」と呼ばれるものであっても、実際にはここで CA 階層全体を作成します。一部のチュートリアルでは、将来の証明書の置き換えを容易にするためにこれを行うことを推奨しています。新しい自己署名証明書のためにすべてのクライアントを更新する代わりに、カスタム CA を信頼するだけで済みます。一度。
また、デフォルトで信頼されていない証明書に対して「自己署名」という用語を使用する人もいます。技術的にはすべてのルート CA 証明書も自己署名されているため、この使用法は間違っていますが、チュートリアルではこのように使用されている可能性があります。