Home / 开发 / cfssl证书工具使用

cfssl证书工具使用

一、CA认证中心

1. 配置证书生成策略

  • 配置证书生成策略,让CA软件知道颁发什么样的证书
  • 策略中有一个default的默认配置,和一个profiles,profiles可以设置多个profile

2. 生成CA证书和私钥

  • CN:浏览器使用该字段验证网站是否合法,一般写的是域名。
  • key:生成证书的算法。
  • hosts:那些主机名(域名)或者IP可以使用此csr申请的证书,为空或者””表示所有主机可使用
  • names:一些其他属性
    • C: Country, 国家
    • ST: State,州或者是省份
    • L: Locality Name,地区,城市
    • O: Organization Name,组织名称,公司名称(在k8s中常用于指定Group,进行RBAC绑定)
    • OU: Organization Unit Name,组织单位名称,公司部门

该命令会生成运行CA所必需的文件ca-key.pem(私钥)和ca.pem(证书),还会生成ca.csr(证书签名请求),用于交叉签名或重新签名。

 

三、生成服务器或客户端证书

参考生成 ca-csr.json

生成 server.json 或client.json证书

主要修改 CN、hosts字段

然后使用刚才生成的CA来给服务器签署证书,运行如下命令来生成服务端证书:

  • -profile指定了使用ca-config.json中的profile
  • 最后的server给定了生成的文件名,将得到如下三个文件:server.csr、server-key.pem和server.pem

类似的,可以生成客户端证书,配置文件的hosts字段指定为空即可

 

四、常用命令

 

发表评论