En los últimos días estuve tratando de comprender la historia de los certificados y entendí el principio fundamental de ellos, pero no entendí ese paso cuando creamos un certificado de CA para firmar mi propio certificado de servidor.
Resumiré aquí lo que he entendido sobre la creación de nuevos certificados para usarlos con los servicios de mi servidor y por favor dígame si todo está bien y ayúdeme a entender los puntos que me faltan o no entiendo:
Creo mi propia clave privada al azar (servidor.clave)
Genero mi clave pública según la clave pública anterior (servidor.csr), y este archivo es solo un certificado normal pero sin ninguna firma.
Repito los dos últimos pasos para conseguirca.key y ca.csr. y dejarles firmar ellos mismos de alguna manera para conseguirca.crt(No entiendo el proceso de autofirma aquí).
usarlos para firmar miservidor.csrLlegarservidor.crt.
Ahora, lo que no entiendo es que si pude firmar yo mismo los archivos en el paso 3, ¿por qué no hice fácilmente los dos primeros pasos y les dejé firmar ellos mismos para conseguirlo?servidor.crt¿archivo?
Creo que entiendo mal algo sobre ese proceso de autofirma, pero desafortunadamente vi muchos videos y leí muchos artículos, pero nada ayudó a solucionarlo.
Respuesta1
Claro, podrías hacer eso.
Tu proceso completono esincluso lo que normalmente se llama "autofirma"; en realidad, aquí se está creando una jerarquía de CA completa. Algunos tutoriales recomiendan hacer esto para facilitar futuros reemplazos de certificados: en lugar de tener que actualizar todos los clientes para el nuevo certificado autofirmado, solo necesita hacer que confíen en la CA personalizada.una vez.
Además, algunas personas utilizan el término "autofirmado" para cualquier certificado en el que no se confíe de forma predeterminada. Ese uso es incorrecto, ya que técnicamente todos los certificados de CA raíz también están autofirmados, pero es posible que su tutorial lo haya usado de esta manera.