如何创建X509根证书并分发从属证书

Question

我一直在看如何创建X509证书，我有点困惑。我理解这个理论，创建一个证书也可以，但我不具备创建整个系统的操作技巧。

以下是要求：

1)将有一个主服务器。这方面的SSL证书不会由任何权威机构签名:它是根。此证书(或至少验证它的方法)将随应用程序一起分发。

2)可能有任意数量的辅助服务器。每个服务器都将生成自己的证书并将其提交给主服务器。

3)主服务器将与根用户签署辅助证书。

用例是客户端连接到辅助服务器，必须能够验证其证书已由根用户签名。

注:主服务器由DNS主机名标识。辅助服务器可以单独命名，也可以单独由IP地址标识。

四个问题：

有人能告诉我openssl命令来完成这三个步骤中的每一个吗？

这些步骤生成的文件中哪些文件不应该分发？

在第三步之后，主程序是否必须将修改后的证书返回到辅助证书？

二级证书是否必须由受信任的主服务器分发，或者客户端是否足以验证该辅助服务器发布的任何证书？

Answer 1

OpenSSL附带了一个脚本，用于创建一个基本的CA：CA.pl。(当然，可以通过修改OpenSSL配置文件来更详细地配置它。)

辅助服务器应该生成的是证书请求(CSR)，CA可以处理它来颁发证书(在您选择的验证过程之后)。

关于文件分发:所有各方都应保持私钥私密。