In den letzten Tagen habe ich versucht, die Geschichte mit den Zertifikaten zu verstehen, und ich habe ihr Grundprinzip verstanden, aber ich habe den Schritt nicht verstanden, bei dem wir ein CA-Zertifikat erstellen, um mein eigenes Server-Zertifikat zu signieren.
Ich fasse hier zusammen, was ich über das Erstellen neuer Zertifikate für deren Verwendung mit den Diensten auf meinem Server verstanden habe. Sagen Sie mir bitte, ob alles richtig ist, und helfen Sie mir, die Punkte zu verstehen, die ich übersehe oder nicht verstehe:
Ich erstelle meinen eigenen privaten Schlüssel nach dem Zufallsprinzip (server.key)
Ich generiere meinen öffentlichen Schlüssel auf Basis des vorherigen öffentlichen Schlüssels (server.csr), und diese Datei ist nur ein normales Zertifikat, allerdings ohne Signatur.
Ich wiederhole die letzten beiden Schritte, umca.key und ca.csr. und lassen Sie sie selbst irgendwie unterschreiben, umca.crt(Ich verstehe den Selbstsignierungsprozess hier nicht).
verwenden Sie sie, um meineserver.csrzu bekommenserver.crt.
Was ich jetzt nicht verstehe: Wenn ich die Dateien in Schritt 3 selbst signieren konnte, warum habe ich dann nicht einfach die ersten beiden Schritte ausgeführt und sie sich selbst signieren lassen, um das zu bekommen?server.crtDatei?
Ich glaube, ich habe bei diesem Selbstsignierungsprozess etwas falsch verstanden, aber ich habe mir zwar viele Videos angesehen und viele Artikel gelesen, aber nichts hat geholfen, das Problem zu beheben.
Antwort1
Sicher, das könnten Sie tun.
Ihr vollständiger Prozessist nichtsogar das, was normalerweise als „Selbstsignierung“ bezeichnet wird – Sie erstellen hier tatsächlich eine ganze CA-Hierarchie. Einige Tutorials empfehlen dies, um zukünftige Zertifikatsersetzungen zu vereinfachen – anstatt alle Clients für das neue selbstsignierte Zertifikat aktualisieren zu müssen, müssen Sie sie nur dazu bringen, der benutzerdefinierten CA zu vertraueneinmal.
Außerdem verwenden manche Leute den Begriff „selbstsigniert“ für jedes Zertifikat, das nicht standardmäßig als vertrauenswürdig eingestuft wird. Diese Verwendung ist falsch, da technisch gesehen alle Root-CA-Zertifikate ebenfalls selbstsigniert sind, aber es ist möglich, dass es in Ihrem Tutorial so verwendet wurde.