@CryptoGuy는 여기에 꽤 좋은 대답을했지만 확장하고 싶었습니다.

말을 바꾸려면 :

타사 CA가 발급 한 인증서를 해당 이름의 인증서로 신뢰하도록 제한 할 수 있습니다. 타사 CA에 이름 제약 조건 확장이 없더라도 상호 인증을 통해 자체 내부 CA 서버를 사용하여 적용 할 수 있습니다. 비결은 내부 CA를 사용하여 타사 CA에 서명하는 것입니다.

리프 SSL 인증서-> 상호 인증서-> CA 인증서-> 내부 루트 인증서

다음은 그 작업을 수행하는 방법입니다 (OpenSSL 명령 행 CA 사용).

간단한 CA 생성

openssl req -new -x509 -days 3650 -newkey rsa:2048 -sha256 -out root-ca.crt -keyout root-ca.key -subj "/CN=My Root CA"

중간 CA 생성을 건너 뛸 수 있습니다

이름 제약 조건을 사용하여 중간 CA 요청을 만듭니다.

openssl req -new -days 3650 -newkey rsa:2048 -out domain-ca.req -sha256 -keyout domain-ca.key -config ossl_domain_com.cfg

이 ossl_domain_com.cfg파일에서 :

[ req ]
prompt=no
distinguished_name=req_distinguished_name
req_extensions=domain_ca

[ req_distinguished_name ]
CN=somedomain.com trust CA

[ domain_ca ]
basicConstraints=critical,CA:true,pathlen:1
nameConstraints=critical,permitted;DNS:.somedomain.com

그런 다음 해당 중간 도메인 CA를 CA와 서명하십시오.

openssl x509 -req -in domain-ca.req -CA root-ca.crt -CAkey root-ca.key -sha256 -set_serial 1 -out domain-ca.crt -extensions domain_ca -extfile ossl_domain_com.cfg

중간체 작성을 생략 한 경우 루트 CA를 사용하여 서명하십시오.

이제 인증을 사용하여 권한 하에서 원래 도메인의 CA에 다시 서명하십시오. 여기에서 CA 확장을 추가 할 수 있습니다.

openssl x509 -in third_party_ca.crt -CA domain-ca.crt -CAkey domain-ca.key -set_serial 47 -sha256 -extensions domain_ca -extfile ossl_domain_com.cfg -out domain-cross-ca.crt

-x509-to-req인수를 사용하여 요청을 작성 해야 할 수도 있습니다. 요청을 작성하려면 위 중간과 정확히 같은 방식으로 서명하십시오.

이제 루트 CA, 중간 CA 및 도메인 간 CA를 브라우저의 트러스트 데이터베이스에 추가하십시오.

---

답변