CA 是证书链中的顶级证书。需要 CA 才能生成客户机证书并验证客户机提供的证书是否可以访问系统信息库。
第三方 CA 由一些可信任的公司(例如 VeriSign)管理。此可信管理方式允许客户机根据其某一 CA 来验证服务器的身份。本节中的示例不包括验证系统信息库服务器的身份。此示例只显示如何验证客户机证书。因此,此示例使用自签名证书创建 CA,但不使用任何第三方 CA。
CA 需要公用名称 (common name, CN)。如果只运行一个系统信息库,可能需要将 CN 设置为您组织的名称(例如 "Oracle Software Delivery")。如果具有多个系统信息库,每个系统信息库都必须具有其自己的 CA。在这种情况下,将 CN 设置为唯一标识正为其创建 CA 的系统信息库的名称。例如,如果具有一个发行版系统信息库和一个支持系统信息库,则仅发行版 CA 中的证书允许访问发行版系统信息库,仅支持 CA 中的证书允许访问支持系统信息库。
要标识密钥库中的证书,请为证书设置描述性标签。比较好的做法是将证书标签设置为 CN_ca,其中 CN 是证书的 CN。
使用以下命令创建 CA 证书,其中 name 是证书 CN,CAlabel 是证书标签:
$ pktool gencert label=CAlabel subject="CN=name" serial=0x01
CA 将存储在密钥库中。使用以下命令显示密钥库的内容:
$ pktool list
按照将 SSL 配置添加到 Apache 配置文件中所述配置 Apache 时,需要从密钥库中提取 CA 证书。使用以下命令将 CA 证书提取到名为 ca_file.pem 的文件:
$ pktool export objtype=cert label=CAlabel outformat=pem \ outfile=ca_file.pem