那么正如它所说的,我应该如何允许内部 CA 签署 CSR?
这适用于您无法轻松为客户端替换私钥的情况,因此首选流程是使用 CSR。
这可能吗?
答案1
有许多手册页上的 openssl ca 子命令示例。无论您如何生成 CSR 或从何处生成,签署 CSR 的标准方法都是相同的。例如,使用此 CA 配置的默认扩展进行签名:
openssl ca -in csr.pem -out newcert.pem
这要求已经设置了内部 CA 以进行证书签名,并且将内部 CA 的证书添加到可能需要验证它的任何客户端的信任根存储中。