如何创建X509根证书并分发从属证书

Question

我一直在研究如何创建 X509 证书，我有点困惑。我理解这个理论，并且创建单个证书是可以的，但我不具备创建整个系统的操作知识。

要求如下：

1) 有一台主服务器。此 SSL 证书不会由任何机构签名：它是根证书。该证书（或至少是验证它的方法）将随应用程序一起分发。

2) 可以有任意数量的辅助服务器。每个都会生成自己的证书并将其提交到主服务器。

3) 主服务器将与根服务器签署辅助证书。

用例是客户端连接到辅助服务器并且必须能够验证其证书是否已由根签名。

注意：主服务器由 DNS 主机名标识。辅助服务器可以仅通过IP地址来命名或识别。

---

四个问题：

有人可以向我展示 openssl 命令来完成这三个步骤吗？

这些步骤生成的哪些文件（如果有）不应该分发？

第3步之后，主站是否必须将修改后的证书返回给从站？

辅助证书是否必须由受信任的主证书分发，或者客户端是否足以验证辅助证书所公布的任何证书？

Answer 1

OpenSSL 附带了一个可用于创建基本 CA 的脚本：CA.pl 。 （当然，您可以通过更改 OpenSSL 配置文件来更详细地配置它。）

辅助服务器应生成证书请求 (CSR)，CA 可以处理该请求以颁发证书（在您选择的验证过程之后）。

关于文件分发：各方应保密其私钥。