构建自签完整的CA证书链，可在线吊销证书

作者：欧阳发布时间：2021年06月08日阅读: 9,827 分类：技术相关

利用XCA构建自签完整的CA证书链，可在线吊销证书，特别适合构建内部网络自签的SSL证书。如银行、集团、医院等对系统安全性有要求的场景。
虽然CRL是个逐渐过时的技术，但在内部网络部署还是非常适合，现在有个简单的XCA工具就能实现。
下载地址：https://hohnstaedt.de/xca/
XCA证书界面：

新建数据库，选择数据库保存文件夹，新建ouyang.xdb，设置密码点击保存即可。
新建数据库后，选择秘钥的标签，创建秘钥。

参数默认，点击创建即可
再选择证书标签，开始创建CA根证书。

使用模板创建新证书（选择CA即可），应用模板所有信息即可。

X509V3的密钥用法可在选一些，我这里随便选了一些，可参考DigiCert CA的一些用法。

主体CN、OU、O、C基础信息根据所需进行填写，我这里参考DigiCert的Root CA证书填写。

再切换到拓展，我这里签发个30年的CA根证书。

点击OK后，即签发成功。

自此CA根证书就已签发成功了。
再就是利用CA证书签发域名证书，也可以签发中间证书，利用X509V3 CRL Distribution Points填写吊销列表内部地址即可完成。
如要吊销证书，将吊销的清单生成后放入服务器即可。

XCA工具非常强大，还需要再进行研究研究。
如内部网络使用XCA进行管理签发，对各业务系统逐个签发还是可行的，并且还可以在线吊销证书，已经能够媲美十几二十万的证书管理系统了。