В последние несколько дней я пытался понять историю сертификатов и понял их основной принцип, но я не понял шаг, когда мы создаем сертификат CA для подписи моего собственного сертификата сервера.
Я подведу итог тому, что я понял о создании новых сертификатов для использования их со службами на моем сервере, и, пожалуйста, скажите мне, все ли правильно, и помогите мне понять моменты, которые я упускаю или не понимаю:
Я создаю свой собственный закрытый ключ случайным образом (сервер.ключ)
Я генерирую свой открытый ключ в соответствии с предыдущим открытым ключом (сервер.csr), а этот файл — обычный сертификат, но без какой-либо подписи.
Я повторяю последние два шага, чтобы получитьca.key и ca.csr. и пусть они как-то подпишутся, чтобы получитьca.crt(Я не понимаю, в чем заключается процесс самоподписания).
используйте их, чтобы подписать мойсервер.csrполучитьсервер.crt.
Теперь я не понимаю, если я мог самостоятельно подписывать файлы на шаге 3, почему я просто не выполнил первые два шага и не позволил им подписать себя самостоятельно, чтобы получить это?сервер.crtфайл?
Думаю, я что-то не понимаю в этом процессе самоподписания, но, к сожалению, я посмотрел много видео и прочитал много статей, но ничего не помогло исправить ситуацию.
решение1
Конечно, вы могли бы это сделать.
Ваш полный процессне являетсядаже то, что обычно называют "самоподписыванием" – вы на самом деле создаете целую иерархию CA здесь. Некоторые руководства советуют делать это, чтобы упростить будущие замены сертификатов – вместо того, чтобы обновлять всех клиентов для нового самоподписанного сертификата, вам нужно только заставить их доверять пользовательскому CAодин раз.
Кроме того, некоторые люди используют термин "самоподписанный" для любого сертификата, который не является доверенным по умолчанию. Такое использование неверно, поскольку технически все сертификаты корневого CA также являются самоподписанными, но возможно, что в вашем руководстве он использовался именно таким образом.