自己成为一个证书颁发机构（CA）

为你的微服务架构或者集成测试创建一个简单的内部 CA。

-- Moshe Zadka（作者）

传输层安全（ TLS ）模型（有时也称它的旧名称 SSL）基于 证书颁发机构 (certificate authoritie)（CA）的概念。这些机构受到浏览器和操作系统的信任，从而签名服务器的的证书以用于验证其所有权。

但是，对于内部网络，微服务架构或集成测试，有时候本地 CA更有用：一个只在内部受信任的 CA，然后签名本地服务器的证书。

这对集成测试特别有意义。获取证书可能会带来负担，因为这会占用服务器几分钟。但是在代码中使用“忽略证书”可能会被引入到生产环境，从而导致安全灾难。

CA 证书与常规服务器证书没有太大区别。重要的是它被本地代码信任。例如，在 Python requests 库中，可以通过将 REQUESTS_CA_BUNDLE 变量设置为包含此证书的目录来完成。

在为集成测试创建证书的例子中，不需要长期的证书：如果你的集成测试需要超过一天，那么你应该已经测试失败了。

因此，计算昨天和明天作为有效期间隔：

现在你已准备好创建一个简单的 CA 证书。你需要生成私钥，创建公钥，设置 CA 的“参数”，然后自签名证书：CA 证书总是自签名的。最后，导出证书文件以及私钥文件。

通常，真正的 CA 会需要 证书签名请求 （CSR）来签名证书。但是，当你是自己的 CA 时，你可以制定自己的规则！可以径直签名你想要的内容。

继续集成测试的例子，你可以创建私钥并立即签名相应的公钥。注意 COMMON_NAME 需要是 https URL 中的“服务器名称”。如果你已配置名称查询，你需要服务器能响应对 service.test.local 的请求。

现在 service.pem 文件有一个私钥和一个“有效”的证书：它已由本地的 CA 签名。该文件的格式可以给 Nginx、HAProxy 或大多数其他 HTTPS 服务器使用。

通过将此逻辑用在测试脚本中，只要客户端配置信任该 CA，那么就可以轻松创建看起来真实的 HTTPS 服务器。

via: https://opensource.com/article/19/4/certificate-authority

作者： Moshe Zadka 选题： lujun9972 译者： geekpi 校对： wxy

本文由 LCTT 原创编译， Linux中国 荣誉推出