1. 为什么需要私有CA体系在日常开发中我们经常遇到需要HTTPS加密通信的场景。比如微服务之间的API调用、内部系统的数据传输、物联网设备的安全连接等。虽然可以使用公共CA机构颁发的证书但在以下场景中自建CA体系会更加灵活和经济内部系统安全通信企业内网服务间通信不需要暴露给公网验证开发测试环境避免为临时环境购买昂贵证书特殊设备认证IoT设备、工控系统等需要定制化证书策略证书管理自主权完全掌控证书的签发、吊销和更新策略我最近在做一个金融项目的微服务改造时就遇到了服务间通信加密的需求。使用自签证书虽然简单但每个服务都要单独维护证书实在太麻烦。后来搭建了私有CA体系所有服务证书统一由内部CA签发既保证了安全性又简化了管理。2. 搭建根CA权威2.1 准备工作首先确保系统已安装OpenSSL工具链。在Linux/macOS上通常预装Windows用户可以从官网下载安装。建议创建一个专用目录存放CA相关文件mkdir my_ca cd my_ca2.2 生成根CA密钥根CA的密钥是整个信任链的基础必须保证绝对安全。推荐使用4096位RSA密钥openssl genrsa -aes256 -out rootCA.key 4096这里加了-aes256参数对密钥进行加密执行后会提示设置密码。我建议使用强密码并妥善保管因为每次使用根证书签发时都需要输入这个密码。2.3 创建根CA配置文件新建rootCA.cnf文件内容如下[req] prompt no distinguished_name req_distinguished_name x509_extensions v3_ca [req_distinguished_name] C CN ST Beijing L Beijing O MyOrg OU DevOps CN MyRootCA [v3_ca] subjectKeyIdentifier hash authorityKeyIdentifier keyid:always,issuer basicConstraints critical, CA:true keyUsage critical, digitalSignature, cRLSign, keyCertSign这个配置有几个关键点需要注意basicConstraints CA:true声明这是一个CA证书keyUsage中必须包含keyCertSign才能签发下级证书CN建议使用有意义的名称方便后续管理2.4 生成自签名根证书执行以下命令生成有效期10年的根证书openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.crt -config rootCA.cnf生成后可以用命令验证根证书属性openssl x509 -in rootCA.crt -text -noout确认输出中有CA:TRUE标记且密钥用途包含证书签名权限。3. 签发服务器证书实战3.1 准备服务器密钥为Web服务器生成2048位的RSA密钥openssl genrsa -out server.key 20483.2 创建证书请求配置新建server.cnf文件[req] default_bits 2048 prompt no default_md sha256 distinguished_name dn req_extensions req_ext [dn] C CN ST Beijing L Beijing O MyOrg OU Web CN api.example.com [req_ext] subjectAltName alt_names basicConstraints CA:FALSE keyUsage digitalSignature, keyEncipherment extendedKeyUsage serverAuth [alt_names] DNS.1 api.example.com DNS.2 *.api.example.com IP.1 192.168.1.100这里有几个实用技巧subjectAltName支持多域名和IP地址keyUsage限制证书只能用于服务器认证通配符域名方便多子域名使用同一证书3.3 生成证书签名请求(CSR)openssl req -new -key server.key -out server.csr -config server.cnf3.4 使用根CA签发证书openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 825 -sha256 -extfile server.cnf -extensions req_ext这里-days 825设置证书有效期约2年3个月是当前行业推荐的最佳实践。签发完成后可以验证证书链openssl verify -CAfile rootCA.crt server.crt4. 客户端证书的特殊处理4.1 客户端证书配置差异客户端证书的配置与服务器证书主要有两点不同扩展用途设置为客户端认证extendedKeyUsage clientAuth通常不需要subjectAltName扩展4.2 双向认证配置在需要双向认证的场景下如gRPC服务端配置需要信任客户端证书的根CA开启客户端证书验证以Nginx为例的配置片段ssl_client_certificate /path/to/rootCA.crt; ssl_verify_client on;5. 证书链验证原理5.1 证书链构建完整的证书链应该包含终端实体证书如server.crt中间CA证书如果有根CA证书可以通过以下命令查看证书链openssl s_client -connect example.com:443 -showcerts 2/dev/null /dev/null5.2 OCSP装订优化为提高验证效率可以配置OCSP装订OCSP Staplingssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/full_chain.crt;6. 高级话题中间CA的创建对于大型组织建议采用三级CA体系离线保存的根CA极少使用中间CA用于日常签发终端实体证书创建中间CA的步骤与根CA类似关键区别在于由根CA签发而不是自签名basicConstraints中pathlen控制下级CA层级openssl x509 -req -in intermediate.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out intermediate.crt -days 1825 -sha256 -extfile intermediate.cnf -extensions v3_intermediate_ca7. 证书生命周期管理7.1 证书吊销列表(CRL)生成CRL的命令示例openssl ca -gencrl -keyfile rootCA.key -cert rootCA.crt -out rootCA.crl7.2 OCSP响应程序搭建OCSP响应服务openssl ocsp -index index.txt -port 8080 -rsigner rootCA.crt -rkey rootCA.key -CA rootCA.crt -text8. 实际部署注意事项密钥安全根CA私钥应该离线保存最好存储在硬件加密模块中证书轮换建立规范的证书更新流程避免过期导致服务中断信任分发将根证书安全地分发到所有需要验证的客户端日志监控记录所有证书签发和吊销操作我在实际项目中遇到过证书过期导致的生产事故。后来建立了证书到期前90天自动提醒的机制大大减少了这类问题。建议使用类似Certbot的工具自动化证书续期或者开发内部的管理平台统一监控。