我正在尝试创建自己的 SSL 层次结构,例如:
根证书
--MyIntermediateCA
----我的证书
我已经安装了 MyRootCA 和 MyIntermediateCA,但 Windows 指出 MyIntermediateCA 没有颁发证书的权限。因此它使 MyCert 无效。
我正在使用 mod_ssl 包中的 sign.sh,它利用了 openssl ca 命令。
我想知道是否有任何参数/选项可以授予 MyIntermediateCA 颁发子级证书的权利?
答案1
通常,中间 CA 需要来自受信任 CA 的有效签名(且未过期)以及使用限制标签 CA:true。通常,中间 CA 不会直接由验证客户端列在信任数据库中。因此,当服务发送由中间 CA 签名的自己的证书时(例如,在建立 TLS 会话时),它还应发送自身与根 CA 之间的所有中间 CA 证书,以便验证客户端实际上可以在链的两端之间建立信任链。
正如您在问题标题中所说的那样,自签名会使其成为独立证书,或者如果它具有 CA:true 标志,则会使证书本身成为根 CA。