如何制定SSL证书请求以授予证书颁发机构能力？

Question

我知道如何创建自签名SSL证书，但如何制定证书请求，以便认证机构授予证书签署证书的能力？

假设我是一家公司的网络运营主管。不同的IT部门有他们自己的网络，他们可以认证其他人连接到，但我必须授予他们的证书签署证书的能力，而不是他们创建自己的自签名证书？

Answer 1

将属性和其他信息设置到证书中所涉及的大部分工作都是管理性的。

您不应该过多地担心证书请求本身。任何像样的CA都会拆分它收到的提取公钥的证书请求，并将其与它想要形成证书的任何信息相关联。它应该只插入(a)它已经能够通过一些其他方法(例如，域验证或大量纸质表单，...)验证的信息片段。以及(b)它愿意担保(并可能在一定程度上承担责任，这取决于条款和条件)。

一些众所周知的CA具有成为中间CA的方案。他们会给你颁发这样的CA证书。(希望这些计划很难注册……)

如果您正在部署自己的内部CA，并且需要中间CA，则您颁发的中间CA证书应该具有the cA boolean of the basic constraints extension set to true (see RFC 5280)。(这不是证书请求的问题，而是您颁发的证书的问题。)