configuring-certificate-authority-with-openssl
证书颁发机构(CA)是 PKI 层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构(根 CA + 中间 CA)。
Best use case
configuring-certificate-authority-with-openssl is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
证书颁发机构(CA)是 PKI 层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构(根 CA + 中间 CA)。
Teams using configuring-certificate-authority-with-openssl should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/configuring-certificate-authority-with-openssl/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How configuring-certificate-authority-with-openssl Compares
| Feature / Agent | configuring-certificate-authority-with-openssl | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
证书颁发机构(CA)是 PKI 层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构(根 CA + 中间 CA)。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 OpenSSL 配置证书颁发机构
## 概述
证书颁发机构(CA)是公钥基础设施(PKI)层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 和 Python cryptography 库构建两层 CA 层次结构(根 CA + 中间 CA),包括证书吊销列表(CRL)分发、OCSP 响应服务器配置和证书策略管理。
## 目标
- 创建带自签名证书的根 CA
- 创建由根 CA 签署的中间 CA
- 从中间 CA 颁发服务器和客户端证书
- 配置证书吊销列表(CRL)
- 实施证书策略和约束
- 以编程方式构建完整的 PKI 层次结构
## 核心概念
### CA 层次结构
```
根 CA(离线,气隙隔离)
|
+-- 中间 CA(在线,运营中)
|
+-- 服务器证书
+-- 客户端证书
+-- 代码签名证书
```
### 证书扩展
| 扩展 | 用途 | 关键性 |
|-----------|---------|----------|
| basicConstraints | CA:TRUE/FALSE,路径长度约束 | 是 |
| keyUsage | keyCertSign、cRLSign、digitalSignature | 是 |
| extendedKeyUsage | serverAuth、clientAuth、codeSigning | 否 |
| subjectKeyIdentifier | 公钥哈希 | 否 |
| authorityKeyIdentifier | 颁发者密钥标识符 | 否 |
| crlDistributionPoints | CRL 的 URL | 否 |
| authorityInfoAccess | OCSP 响应服务器 URL | 否 |
## 安全注意事项
- 根 CA 私钥必须离线存储(气隙隔离的 HSM)
- CA 密钥使用最少 4096 位 RSA 或 P-384 ECDSA
- 在中间 CA 上设置路径长度约束
- 实施证书策略(OID)
- 启用 CRL 和 OCSP 进行吊销检查
- 审计所有证书颁发操作
## 验证标准
- [ ] 根 CA 自签名证书有效
- [ ] 中间 CA 证书链接到根 CA
- [ ] 颁发的证书链接到中间 CA -> 根 CA
- [ ] 路径长度约束得到执行
- [ ] CRL 已生成且可访问
- [ ] 已吊销证书出现在 CRL 中
- [ ] 证书策略正确嵌入Related Skills
performing-ssl-certificate-lifecycle-management
SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。
performing-mobile-app-certificate-pinning-bypass
在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。
exploiting-active-directory-certificate-services-esc1
在授权红队评估中,利用活动目录证书服务(AD CS)的 ESC1 错误配置漏洞,以高权限用户身份申请证书并提升域权限。
configuring-zscaler-private-access-for-ztna
配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。
configuring-windows-event-logging-for-detection
配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。
configuring-windows-defender-advanced-settings
配置 Microsoft Defender for Endpoint(MDE)高级防护设置,包括攻击面缩减规则、受控文件夹访问、 网络保护和漏洞利用防护。适用于在默认 Defender 设置基础上加固 Windows 端点、部署企业级端点防护 或满足高级恶意软件防御合规要求的场景。
configuring-tls-1-3-for-secure-communications
TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。
configuring-suricata-for-network-monitoring
部署和配置 Suricata IDS/IPS,使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则, 进行实时网络流量检测(intrusion detection)、威胁检测,并与 SIEM 平台集成实现集中化安全监控。
configuring-snort-ids-for-intrusion-detection
安装、配置和调优 Snort 3 入侵检测系统(intrusion detection system),使用自定义和社区规则集、 预处理器和告警输出插件,在授权网络分段上监控网络流量中的恶意活动。
configuring-pfsense-firewall-rules
配置 pfSense 防火墙规则、NAT 策略、VPN 隧道和流量整形,以强制实施网络分段(network segmentation)、 控制流量,并保护企业及中小型企业环境中的内部网络区域。
configuring-oauth2-authorization-flow
配置安全的 OAuth 2.0 授权流程,包括带 PKCE 的授权码流、客户端凭据和设备授权授予。本技能涵盖流程选择、PKCE 实施、令牌生命周期管理、范围设计以及符合 OAuth 2.1 安全要求。
configuring-microsegmentation-for-zero-trust
为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。