然后，您可以根据此设定档建立与CA相关的资讯

一般来说，我们使用的证书都是由第三方权威机构颁发的。如果我们有一个新的https网站，我们必须申请全球认可的证书。这样我们的网站才容易访问。

熟悉资格证的朋友可能会说。为什么不使用自签名证书？也有可能达到保安通信的目的。

在建立根ca之前，我们需要创建一些适当的目录来存储有关CA的信息，例如，我们需要目录certs来存储证书，keys来存储密钥，CA数据库db来存储密钥。

使用以下命令创建相应的文件和目录：

目录完成后，还需要非常重要的根CA配置文件。然后，您可以根据此设定档建立与CA相关的资讯。

一般来说，不需要ca设定档，只有在需要建立更复杂的CA时，才需要使用CA设定档。

以下是CA配置文件的示例。

可以使用上述配置文件和目录信息创建根CA。

首先，必须按如下方式创建私钥和根ca的CSR文件：

接下来，创建需要使用配置文件的ca_req_ext部分的自签名证书。

运行此命令后，在certs文件夹中创建自签名证书文件。

此外，以下内容将写入db的index文件中：

第四个字段是序列号，即生成的CA名称。

最后一个字段是此证书的名称，用于区分其他证书。

可以使用Root-ca.conf创建CRL。

当前生成的root-ca.crl文件尚未包含证书信息。

如果要取消颁发的CA，可以使用以下命令：

您可以指定要在Revoke中恢复的证书。

这里需要注意的是，必须指定crl_reason。crl_reason可以是以下值：

当然，输入必要的参数后，将生成密钥和CSR。

接下来，可以使用root CA和root-OCSP.csr颁发OCSP证书。其中，必须使用配置文件的ocsp_ext部分。

所以我们开始了OCSP服务器端。

打开另一个窗口，然后运行以下命令请求OCSP:

可以获得以下结果：

此处开始的本地服务可以考虑从正式环境迁移到单独的服务器。

最通俗的解释，最深刻的干货，最简明的教程，很多你