通过开源工具XCA工具签发和管理可被浏览器信任的SSL证书
简介
本文介绍了通过开源工具XCA(X Certificate and Key management)签发CA和SSL证书。
本工具签发的SSL证书在安装CA后可被Chrome\Firefox等浏览器信任。
截止本文发布最新的版本为 XCA 2.5.0,本文也基于2.5.0版本演示。
下载地址
官网:https://hohnstaedt.de/xca
GitHub: https://github.com/chris2511/xca/
操作流程
0.创建数据库
如果是初次使用,需要创建数据库。
依次点击
- 菜单
- 文件
- 新建数据库
选择文件位置,输入文件名,点击保存数据库文件。
之后会提示输入数据库密码,可输可不输,看个人。
之后依次点击 - 菜单
- 设置为默认数据库
这样下次打开的时候会自动打开本数据库。
1.创建根证书的密钥
在[密钥]选项卡,点击[创建密钥]。[密钥类型]选择RSA,名字和长度随意。之后点击创建。
2.创建根证书
在[证书]选项卡,点击[创建证书]。
在[来源]选项卡,[使用模板创建新证书]选择CA。
在[主体]选项卡,根据个人需求输入证书的信息,[私钥]选择上一步创建的密钥。
在[扩展]选项卡,[类型]选择CA,勾选X509v3 Subject Key Identifier和X509v3 Authority Key Identifier,之后根据个人需求输入证书的有效期。
在[密钥算法]选项卡,在[X509v3 Key Usage]选择Digital Signature,Certificate Sign和CRL Sign,在[X509v3 Extended Key Usage]选择TLS Web Server Authentication,TLS Web Client Authentication和Time Stamping。
之后点击确定完成创建。
3.为localhost创建SSL证书
先参考[[#1.创建根证书的密钥]]为localhost创建一个密钥。
然后创建一个新的证书。
在[来源]选项卡,[使用此CA证书进行签名]选择上一部创建的根证书,[使用模板创建新证书]选择TLS_server。
在[主体]选项卡,根据个人需求输入证书的信息,[私钥]选择刚刚创建的密钥。
在[扩展]选项卡,[类型]选择最终实体,勾选X509v3 Subject Key Identifier和X509v3 Authority Key Identifier,之后根据个人需求输入证书的有效期。
之后点击[X509v3 Subject Alternative Name]的编辑,在弹出框中添加证书对应DNS和IP的设置,点击验证对配置进行检查,之后点击应用。
最后结果显示如下。
在[密钥算法]选项卡,在[X509v3 Key Usage]选择Digital Signature和Key Encipherment,在[X509v3 Extended Key Usage]选择TLS Web Server Authentication和TLS Web Client Authentication。
之后点击确定完成创建。
4.导出证书和私钥并安装到对应的设备
导出CA证书安装到系统。
导出localhost的密钥和证书安装到nginx服务器。