这是作者对 2023 年运行自己的根证书颁发机构的美好世界的短暂尝试……它能在 Apple 设备和 Linux 浏览器中使用。
本文讨论运行自己的根证书颁发机构 (CA) 来生成 X509 证书的过程,特别是对于内部服务。
它探讨了 ZeroSSL 和 Let's Encrypt 等免费啤酒替代方案的局限性,并强调了更新证书和使用通配符 x509 证书的重要性。
本文提供了有关使用 OpenSSL 命令生成 CA 证书和主机证书的分步指南。它还提到了在静态网站上提供 CA 证书的要求。
人们抱怨:
- 作者感叹获取和管理证书的复杂过程,质疑为什么它不能像从 Azure Key Vault 这样的秘密存储中检索证书那么简单。
- 一些评论者指出,GCP、AWS 等云提供商确实提供了与作者想要的类似的证书颁发机构产品。
- 其他人分享了他们自己运行 CA 的经验和解决方案,包括使用 step 和 step-ca、Nitrokey HSM 和 Vault 作为中间发行者。
详细点击标题