个人SSL证书

Question

我在一个测试环境中运行了几个服务器，我只有一个CA，可以认证一个页面。

是否可以为从我收到的CA派生的测试环境创建我自己的CA？

Answer 1

您可以使用java开发工具keytool在运行服务器的同一台计算机上为服务器创建自己的证书。您必须使用该证书配置您的服务器。

它将询问您一些信息，输入并继续，您将成为自己的CA。

以下是为Apache Tomcat生成证书的命令：

keytool -genkey -alias tomcat -keyalg RSA

Answer 2

我只有一个CA，可以认证一个页面。

考虑到“可以认证一个页面”的措辞，我猜您并没有像您声称的那样拥有一个CA (证书颁发机构)，而是拥有一个由CA颁发的单一服务器证书。这样的服务器证书不能用于颁发新证书，只有CA证书可以这样做。

是否可以为从我收到的CA派生的测试环境创建我自己的CA？

虽然您可以创建自己的CA，但不能从您已获得的服务器证书派生它，因此本质上不能从签署服务器证书的CA派生它。这意味着，只有当客户端显式地将您自己的CA添加到其信任存储中时，您使用自己的CA创建的证书才会自动受到客户端的信任。