创建由现有根CA签名的x509证书

Question

乐山演示服务器提供了根CA

如果您希望使用DTLwithCertificate(X509)模式连接客户端，则客户端需要信任此证书才能接受与此服务器的DTLS连接。

我要做的是制作一个新的x509证书，该证书由Leshan演示服务器提供的Root签名。这个根CA是der格式的，我不知道如何在openSSL中使用它。

我尝试使用openssl ，但它说无法加载CA私钥。

Answer 1

要签署证书，您需要签名者CA的私钥。然后使用公钥(可能来自签名CA证书)来验证该签名。

在我看来，x509提高了IoT的安全性，这是一个非常非常普遍的误解。特别是，如果不清楚它是如何工作的，它通常会引起更多的麻烦，然后它就会有所帮助。CoAP/DTLS还提供其他方式，例如原始公钥(RFC 7250)或PSK-ECDHE。无论如何，如果您想/必须与x509一起使用，让我向您推荐，您在前面使用它时会变得更加常见。

值得一提的是:如果您最终想要对设备证书进行签名，您可以通过不同的CA签名，这不是必需的，这是用来对服务器证书进行签名的CA。也许乐山沙箱需要这一点，但这更多的是一个问题的操作者沙箱(问乐山项目关于这一点)。

对于Eclipse/Californium来说，使用java keytool创建设备证书并随后导出它更容易。如果您仔细阅读该shell脚本，一些可以帮助create-keystores.sh。