@CryptoGuy'un burada oldukça iyi bir cevabı vardı, fakat üzerinde genişlemek istedim.
Kelimeleri ifade etmek:
3. taraf CA'yı, istediğiniz ad listesine verilen sertifikalara (o CA'dan) güvenmesi için kısıtlayabilirsiniz. 3. parti CA'nın Adı Sınırlamaları uzantısı olmasa bile, kendi dahili CA sunucunuzu çapraz sertifikalandırma yoluyla kullanarak uygulamak mümkündür. İşin püf noktası, dahili CA'nızı kullanarak 3. taraf CA'yı imzalamanızdır.
yaprak SSL sertifikası -> çapraz sertifika -> CA sertifikanız -> dahili kök sertifikanız.
Ve işte bu işlemi nasıl yapıyorsunuz (OpenSSL komut satırını CA kullanarak)
Basit bir CA oluşturun
openssl req -new -x509 -days 3650 -newkey rsa:2048 -sha256 -out root-ca.crt -keyout root-ca.key -subj "/CN=My Root CA"
Bir ara CA oluşturmayı atlayabilirsiniz
Ad Kısıtlamaları ile bir ara CA isteği oluşturun.
openssl req -new -days 3650 -newkey rsa:2048 -out domain-ca.req -sha256 -keyout domain-ca.key -config ossl_domain_com.cfg
Bununla birlikte ossl_domain_com.cfg
dosyada:
[ req ]
prompt=no
distinguished_name=req_distinguished_name
req_extensions=domain_ca
[ req_distinguished_name ]
CN=somedomain.com trust CA
[ domain_ca ]
basicConstraints=critical,CA:true,pathlen:1
nameConstraints=critical,permitted;DNS:.somedomain.com
Ardından, Intermediate domain CA'yı CA'nızla işaretleyin.
openssl x509 -req -in domain-ca.req -CA root-ca.crt -CAkey root-ca.key -sha256 -set_serial 1 -out domain-ca.crt -extensions domain_ca -extfile ossl_domain_com.cfg
Bir ara oluşturmayı atladıysanız, imzalamak için kök CA'nızı kullanın.
Şimdi, orijinal alan adının CA'sını, sertifikasını kullanarak kendi yetkiniz altında tekrar imzalayın. CA uzantılarını buraya ekleyebilirsiniz.
openssl x509 -in third_party_ca.crt -CA domain-ca.crt -CAkey domain-ca.key -set_serial 47 -sha256 -extensions domain_ca -extfile ossl_domain_com.cfg -out domain-cross-ca.crt
-x509-to-req
Yukarıdaki aracı ile aynı şekilde imzalayacağınız bir istek oluşturmak için argümanı kullanmanız gerekebilir .
Şimdi, kök CA'nızı, orta CA'yı ve domain-ca'yı tarayıcınızın güven veritabanına ekleyin.