我想使用 Vault(HashiCorp)为内部服务设置私有 CA。我正在 Vault 之外生成根 CA 和中级 CA 证书。Vault 将根据请求生成短期(30 天)证书。
我遵循了这个指南https://jamielinux.com/docs/openssl-certificate-authority/introduction.html
并生成根 CA 证书example.com& dev.example.com,但是我是否需要*.dev.example.comVault 的通配符中间证书来生成进一步的子域证书one.dev.example.com,例如two.dev.example.com?
您对此有任何帮助吗?
答案1
我认为你误解了这里的一些术语,从你的来源复制而来
中级证书颁发机构 (CA) 是可以代表根 CA 签署证书的实体。根 CA 签署中级证书,从而形成信任链。
中间证书签署其他证书,它不为网站(例如 *.example.com)或子域名(例如 *.dev.exmaple.com)提供加密
中间证书的唯一目的是为证书根提供保护,在这种情况下,中间证书的私钥被泄露,您必须撤销它(在根级别)并重新生成您的证书,而如果您没有这个,您将需要从所有端点手动删除 CA!
您似乎正在尝试生成一个通配符证书,您将使用中间 CA 证书对该证书进行签名,以便您控制的、已信任根证书的系统能够信任该证书。
您提到的网站似乎没有给出使用主题替代名称的明确说明。
复制中间/openssl.cnf 并附加这些行。
req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.example.com
DNS.2 = *.m.example.com
DNS.3 = example.com
$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out keypair.csr -keyout keypair.key -config req.conf