CA 根证书使用说明
本文档介绍如何下载和安装 CA 根证书,使您的系统或浏览器信任由该 CA 签发的证书。
什么是 CA 根证书?
Section titled “什么是 CA 根证书?”CA(Certificate Authority)根证书是证书信任链的根节点。当您创建一个私有 CA 并用它签发服务器证书时,客户端需要信任该 CA 根证书,才能自动信任由它签发的所有证书。
下载 CA 根证书
Section titled “下载 CA 根证书”- 进入 控制台 → 本地证书 → CA 管理
- 找到需要下载的 CA,点击 下载 按钮
- 在弹出的对话框中,点击 下载 保存
xxx-ca.crt文件
安装 CA 根证书
Section titled “安装 CA 根证书”方法一:钥匙串访问(推荐)
Section titled “方法一:钥匙串访问(推荐)”- 双击下载的
.crt文件 - 在弹出的”钥匙串访问”中,选择添加到 系统 钥匙串
- 找到刚添加的证书,双击打开
- 展开 信任 部分
- 将”使用此证书时”改为 始终信任
- 关闭窗口,输入密码确认
方法二:命令行
Section titled “方法二:命令行”sudo security add-trusted-cert -d -r trustRoot \ -k /Library/Keychains/System.keychain \ ~/Downloads/xxx-ca.crt方法一:图形界面
Section titled “方法一:图形界面”- 双击下载的
.crt文件 - 点击 安装证书
- 选择 本地计算机,点击下一步
- 选择 将所有证书都放入下列存储
- 点击 浏览,选择 受信任的根证书颁发机构
- 完成安装
方法二:命令行(管理员权限)
Section titled “方法二:命令行(管理员权限)”certutil -addstore -f "ROOT" C:\path\to\xxx-ca.crtUbuntu/Debian
Section titled “Ubuntu/Debian”# 复制证书到信任目录sudo cp xxx-ca.crt /usr/local/share/ca-certificates/
# 更新证书信任库sudo update-ca-certificatesCentOS/RHEL/Fedora
Section titled “CentOS/RHEL/Fedora”# 复制证书sudo cp xxx-ca.crt /etc/pki/ca-trust/source/anchors/
# 更新信任库sudo update-ca-trustChrome
Section titled “Chrome”Chrome 使用系统证书库,安装到系统后自动生效。
Firefox
Section titled “Firefox”Firefox 使用独立证书库,需要单独导入:
- 打开 设置 → 隐私与安全
- 滚动到 证书 部分,点击 查看证书
- 选择 证书颁发机构 标签页
- 点击 导入,选择
.crt文件 - 勾选 信任此 CA 以标识网站
- 点击确定
安装完成后,可以通过以下方式验证:
# 使用 curl 测试(假设服务器证书是用此 CA 签发的)curl https://your-server.local
# 如果没有报错,说明 CA 已被信任安装后浏览器仍提示不安全?
Section titled “安装后浏览器仍提示不安全?”- 确认证书已正确安装到系统信任库
- 重启浏览器
- 检查服务器证书的域名是否与访问地址匹配
- Firefox 用户需要单独导入到浏览器
如何删除已安装的 CA?
Section titled “如何删除已安装的 CA?”- macOS:打开钥匙串访问,找到证书并删除
- Windows:运行
certmgr.msc,在”受信任的根证书颁发机构”中删除 - Linux:删除对应的
.crt文件,然后运行update-ca-certificates或update-ca-trust