ipsec pki --self
é usado para criar um certificado auto-assinado . Isso significa que o certificado é assinado com a chave privada que corresponde à chave pública contida no certificado. Isso pode ser usado para qualquer certificado, não apenas certificados de CA, mas requer que o certificado seja instalado em todos os hosts que precisam confiar nele.
ipsec pki --issue
, por outro lado, usa uma chave diferente para assinar os certificados. Seu principal uso é para uma CA emitir / assinar certificados de entidade final (ou certificados CA intermediária ). Isso facilita a implantação, pois você precisa instalar o certificado de autoridade de certificação para confiar em todos os certificados emitidos por essa autoridade de certificação.
Como os dois comandos criam novos certificados, o sinalizador serverAuth
Extended Key Usage ( --flag serverAuth
) é uma opção válida para ambos. Qual comando você usa para criar seus certificados de entidade final é com você, para facilitar a implantação, a segunda opção é recomendada.
Da mesma forma, a opção --san ...
mencionada no tutorial adiciona uma extensão subjectAltName
a um certificado, portanto ela também pode ser usada com ambos os comandos.