使用 OpenSSL 创建私有 CA：1 根证书

使用 OpenSSL 创建私有 CA：2 中间证书

使用 OpenSSL 创建私有 CA：3 用户证书

今天跟着上面的三部曲，做了一下openssl的CA体系。

下面是一些我自己的理解：

步骤是：

建立根证书，

建立中间证书，

建立用户证书。

每一级的大致建立流程基本无二至：

1. 准备CA的配置文件（其实这里用户证书也可以看成一种特殊的CA）

2. 创建一些准备文件：  存放私钥的地方，存放本CA的地方，db库,crl证书吊销的相关目录等。（用上面的脚本建立，还不错 挺快速的）

3. 创建私钥

4. 利用私钥生成csr文件（Certificate Signing Requests）（证书的申请文件）

5. 利用csr文件和配置信息等  生成CA证书

6. 如果不是用户证书，还需要生成证书链文件

然后就可以验证证书了，一般是直接用证书链文件，进行验证就可以

每次在用户申请证书都走一遍上述流程比较麻烦（1-5），作者还贴心的写了个脚本,很好用。

据此，我画了一个简要的流程图：