我在centos7主机(azcn-gs1-nginx2)上模拟了一个CA,并使用CA为服务器(azcn-gs1-nginx1)签署了一个证书。
以下是我所做的:
cd /etc/pki/CA/private/
openssl genrsa -aes128 -out testCA.key 2048
openssl req -new -x509 -days 1825 -key /etc/pki/CA/private/testCA.key -out /etc/pki/CA/certs/testCA.crt
openssl genrsa -out /etc/pki/tls/private/newServer.key 1024
openssl req -new -key /etc/pki/tls/private/newServer.key -out /etc/pki/tls/newServer.csr
scp /etc/pki/tls/newServer.csr root@azcn-gs1-nginx2:~/newServer.csr
openssl x509 -req -in ./newServer.csr -CA /etc/pki/CA/certs/testCA.crt -CAkey /etc/pki/CA/private/testCA.key -CAcreateserial -out newServer.crt -days 1461
scp newServer.crt root@azcn-gs1-nginx2:/etc/pki/tls/certs/newServer.crt
ssl_certificate /etc/pki/tls/certs/newServer_1.crt;
ssl_certificate_key /etc/pki/tls/private/newServer.key;
cp testCA.crt /usr/local/share/ca-certificates/
update-ca-certificates
我打开 Firefox 浏览器并通过 https 访问 Web 服务器。预期结果是可以直接打开网页,没有安全警告。
不幸的是,它给出了“您的连接不安全......”的警告。
而且,看起来证书只包含证书本身。它不包含 CA 的证书。
为什么会这样?如何在 Chain 中获得带有 CA 证书的签名证书? 感谢和问候, 杰
答案 0 :(得分:0)
感谢您的评论。 没错。
其实很简单。 CA 和服务器的 2 个 .crt 文件可以合并为一个 .crt。那么证书链就是一个整体。
对了,图2和图3是其他问题。
谢谢, 杰