在网络安全的世界里，SSL/TLS证书就像一张“数字身份证”，而颁发这些身份证的机构（CA，Certificate Authority）则是背后的“公安局”。如果你是企业IT管理员或安全工程师，可能需要自己搭建一个内部CA根证书，用于签发内网设备的SSL证书。今天我们就用大白话+实例，带你彻底搞懂SSL根证书CA制作的全流程！

一、为什么需要自建CA根证书？

场景举例：

假设你的公司有几十台内部系统（OA、CRM等），如果每个系统都去申请商业SSL证书（如DigiCert），每年成本可能上万。而自建CA只需一次制作根证书，就能无限签发子证书，省钱又灵活！

典型用途：

1. 内网HTTPS加密（如访问https://internal.company.com）

2. 代码签名（比如内部开发的软件）

3. 设备身份认证（VPN网关、物联网设备）

二、CA根证书的核心原理

你可以把CA想象成一棵“信任树”：

- 根证书（Root CA）是树根，必须提前安装到所有设备的“信任列表”里。

- 中间证书（Intermediate CA）是树枝，用于隔离风险（比如密钥泄露时只需吊销中间证）。

- 终端证书（End-Entity）是树叶，比如nginx使用的网站证书。

类比理解：

就像现实中的公章体系——总公司公章（Root CA）→部门章（Intermediate CA）→员工签字（终端证书）。

三、实操：用OpenSSL制作Root CA

步骤1：生成根密钥

```bash

openssl genrsa -aes256 -out rootCA.key 4096

```

这相当于给CA配了一把高安全性的密码锁（AES256加密的4096位RSA密钥）。

步骤2：创建根证书

新建配置文件`rootCA.cnf`：

```ini

[ req ]

distinguished_name = req_distinguished_name

prompt = no

[ req_distinguished_name ]

C = CN

ST = Beijing

L = Beijing

O = MyCompany Inc.

OU = Security Dept.

CN = MyCompany Root CA

然后执行：

openssl req -x509 -new -key rootCA.key -days 7300 -out rootCA.crt -config rootCA.cnf

生成的`rootCA.crt`就是未来10年有效的根证书！

四、关键安全注意事项

1. 离线保存Root Key

? 正确做法：把`rootCA.key`存进加密U盘，锁进保险柜。

? 错误示范：放在生产服务器上联网使用。

2. 一定要设中间层CA

直接拿Root CA签服务器证书？风险相当于用董事长公章签报销单！应该：

```mermaid

graph LR

Root_CA --> Intermediate_CA --> Server_Cert

```

3. CRL/OCSP配置

就像挂失公告牌，必须提前规划吊销机制：

```bash

openssl ca -gencrl -out rootCA.crl -config rootCA.cnf

五、实际应用案例

案例1：为内网网站签发证书

1. 生成CSR请求：

openssl req -new -newkey rsa:2048 -nodes \

-keyout internal-web.key \

-out internal-web.csr \

-subj "/CN=internal.company.com"

2. 用中间CA签名：

openssl x509 -req -in internal-web.csr \

-CA intermediate.crt -CAkey intermediate.key \

-days 365 -out internal-web.crt

案例2：Windows域环境部署

把`rootCA.crt`导入【组策略→计算机配置→受信任的根证书】，全公司电脑自动信任你签发的所有证书。

六、自签名 vs 商业证书的区别

| | 自建Root CA | 商业CA(如Let's Encrypt) |

||--||

| 信任范围 | 仅自己设备认可 | 全球浏览器默认信任 |

| 适用场景 | 内网/测试环境 | 对外服务(www.example.com) |

| 成本 | $0 | $50~$1000+/年 |

| 吊销检查 |需自建OCSP服务器 | CA自动处理 |

七、常见问题QA

Q：浏览器提示“不安全”怎么办？

A：因为你没预装根证！Chrome/Firefox需要手动导入`rootCA.crt`到【设置→隐私与安全→管理证书】。

Q：密钥长度选2048还是4096？

A：Root CA建议4096位（长期使用），服务器证2048位足矣。

Q：如何查看证书内容？

```bash

openssl x509 -in rootCA.crt -text

Linux/Mac版"身份证阅读器"

通过这套方法，你现在已经能像专业机构一样管理自己的数字信任体系了！记住核心原则：“根证离线存，中间层隔离风险”，下次遇到领导要求快速部署HTTPS测试环境时，你就可以潇洒地甩出这篇指南了~

TAG:Ssl根证书ca制作,ssl 根证书,ssl证书 自己制作,ssl证书 pem