自签名CA和自签名证书的区别

两个选项都有效,选项2更简单。

当您需要多个证书时,选项1(设置您自己的CA)更可取。在公司中,您可以设置自己的CA,并将该CA的证书安装到所有客户机的根密钥库中。然后,这些客户将接受由您的CA签名的所有证书。

选项2(在没有CA的情况下对证书进行自签名)更容易。如果您只需要一个证书,那么这就足够了。将它安装到客户机的密钥库中,就完成了。但是当您需要第二个证书时,您需要在所有客户机上再次安装它。

下面是一个包含更多信息的链接: Creating Certificate Authorities and self-signed SSL certificates

首先,关于密钥和证书之间的区别(关于“CA密钥”),在讨论公钥证书时使用了3个部分(通常是X.509):公钥、私钥和证书。 公钥和私钥形成一对。您可以使用私钥签名和解密,也可以验证(签名)和使用公钥加密。公钥是用来分发的,而私钥是用来保持私有的。

公钥证书是公钥和各种信息(主要是关于密钥对所有者的身份、谁控制私钥)之间的组合,此组合使用证书颁发者的私钥进行签名。 X.509证书具有使用者可分辨名称和颁发者可分辨名称。颁发者名称是颁发证书的实体的证书的使用者名称。自签名证书是一种特殊情况,在这种情况下,发行人和主体是相同的。 通过签署证书的内容(即签发证书),颁发者声明其内容,特别是密钥、身份(主题)和各种属性(可能表明证书的用途或范围)之间的绑定。

除此之外,pkix规范还定义了一个扩展(给定证书的一部分),它指示一个证书是否可以用作CA证书,也就是说,它是否可以用作另一个证书的颁发者。

由此,您可以在最终实体证书(对于用户或服务器,这是您要验证的证书)和您信任的CA证书之间构建一个证书链。您的服务的最终实体证书和您信任的CA证书之间可能存在中间CA证书(由其他CA证书颁发)。您不需要在顶部严格地使用根CA(自签名CA证书),但通常情况下是这样(如果您愿意,可以选择直接信任中间CA证书)。

对于您的用例,如果您为特定的服务生成一个自签名证书,那么它是否具有CA标志(基本约束扩展)并不重要。您需要它是一个CA证书才能颁发其他证书(如果您想构建自己的PKI)。如果您为此服务生成的证书是CA证书,它不应该有任何危害。更重要的是,您可以通过配置客户机来信任此特定服务器的证书(例如,浏览器应该让您很容易地做出显式异常)。如果配置机制遵循一个pki模型(不使用特定的异常),由于不需要构建链(只使用一个证书),因此您应该能够直接将证书导入到客户端的信任锚中,无论它是否为CA证书。(但这可能取决于客户端的配置机制)。

你可以 openssl x509 -noout -text -in $YOUR_CERT 要查看文件内容之间的差异:

在您的自签名CA中,您可以看到_¼_

    X509v3 extensions:                                                          
        X509v3 Basic Constraints:
            CA:TRUE, pathlen:0

在您的自签名证书中,它是:

    X509v3 extensions:                                                          
        X509v3 Basic Constraints:
            CA:FALSE

您必须始终拥有一个根CA,该CA有一个密钥,可用于签署较低级别的证书,以及一个根证书,可嵌入到客户端上接受的根证书中,并用于验证较低的证书以检查它们是否有效。自签名只意味着你是自己的CA。每当创建自签名证书时,你创建一个CA,然后用该CA签署一个站点证书。