configuring-certificate-authority-with-openssl

证书颁发机构(CA)是 PKI 层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构(根 CA + 中间 CA)。

9 stars

Best use case

configuring-certificate-authority-with-openssl is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

证书颁发机构(CA)是 PKI 层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构(根 CA + 中间 CA)。

Teams using configuring-certificate-authority-with-openssl should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/configuring-certificate-authority-with-openssl/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/configuring-certificate-authority-with-openssl/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/configuring-certificate-authority-with-openssl/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How configuring-certificate-authority-with-openssl Compares

Feature / Agentconfiguring-certificate-authority-with-opensslStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

证书颁发机构(CA)是 PKI 层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构(根 CA + 中间 CA)。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 OpenSSL 配置证书颁发机构

## 概述

证书颁发机构(CA)是公钥基础设施(PKI)层次结构中的信任锚,负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 和 Python cryptography 库构建两层 CA 层次结构(根 CA + 中间 CA),包括证书吊销列表(CRL)分发、OCSP 响应服务器配置和证书策略管理。

## 目标

- 创建带自签名证书的根 CA
- 创建由根 CA 签署的中间 CA
- 从中间 CA 颁发服务器和客户端证书
- 配置证书吊销列表(CRL)
- 实施证书策略和约束
- 以编程方式构建完整的 PKI 层次结构

## 核心概念

### CA 层次结构

```
根 CA(离线,气隙隔离)
  |
  +-- 中间 CA(在线,运营中)
        |
        +-- 服务器证书
        +-- 客户端证书
        +-- 代码签名证书
```

### 证书扩展

| 扩展 | 用途 | 关键性 |
|-----------|---------|----------|
| basicConstraints | CA:TRUE/FALSE,路径长度约束 | 是 |
| keyUsage | keyCertSign、cRLSign、digitalSignature | 是 |
| extendedKeyUsage | serverAuth、clientAuth、codeSigning | 否 |
| subjectKeyIdentifier | 公钥哈希 | 否 |
| authorityKeyIdentifier | 颁发者密钥标识符 | 否 |
| crlDistributionPoints | CRL 的 URL | 否 |
| authorityInfoAccess | OCSP 响应服务器 URL | 否 |

## 安全注意事项

- 根 CA 私钥必须离线存储(气隙隔离的 HSM)
- CA 密钥使用最少 4096 位 RSA 或 P-384 ECDSA
- 在中间 CA 上设置路径长度约束
- 实施证书策略(OID)
- 启用 CRL 和 OCSP 进行吊销检查
- 审计所有证书颁发操作

## 验证标准

- [ ] 根 CA 自签名证书有效
- [ ] 中间 CA 证书链接到根 CA
- [ ] 颁发的证书链接到中间 CA -> 根 CA
- [ ] 路径长度约束得到执行
- [ ] CRL 已生成且可访问
- [ ] 已吊销证书出现在 CRL 中
- [ ] 证书策略正确嵌入

Related Skills

performing-ssl-certificate-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。

performing-mobile-app-certificate-pinning-bypass

9
from killvxk/cybersecurity-skills-zh

在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。

exploiting-active-directory-certificate-services-esc1

9
from killvxk/cybersecurity-skills-zh

在授权红队评估中,利用活动目录证书服务(AD CS)的 ESC1 错误配置漏洞,以高权限用户身份申请证书并提升域权限。

configuring-zscaler-private-access-for-ztna

9
from killvxk/cybersecurity-skills-zh

配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。

configuring-windows-event-logging-for-detection

9
from killvxk/cybersecurity-skills-zh

配置 Windows 事件日志与高级审计策略,以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略,以支撑 SIEM 检测规则的场景。

configuring-windows-defender-advanced-settings

9
from killvxk/cybersecurity-skills-zh

配置 Microsoft Defender for Endpoint(MDE)高级防护设置,包括攻击面缩减规则、受控文件夹访问、 网络保护和漏洞利用防护。适用于在默认 Defender 设置基础上加固 Windows 端点、部署企业级端点防护 或满足高级恶意软件防御合规要求的场景。

configuring-tls-1-3-for-secure-communications

9
from killvxk/cybersecurity-skills-zh

TLS 1.3(RFC 8446)是传输层安全协议的最新版本,在安全性和性能方面相比 TLS 1.2 有显著改进,将握手延迟降低至 1-RTT,移除了过时的密码套件并强制要求完美前向保密。

configuring-suricata-for-network-monitoring

9
from killvxk/cybersecurity-skills-zh

部署和配置 Suricata IDS/IPS,使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则, 进行实时网络流量检测(intrusion detection)、威胁检测,并与 SIEM 平台集成实现集中化安全监控。

configuring-snort-ids-for-intrusion-detection

9
from killvxk/cybersecurity-skills-zh

安装、配置和调优 Snort 3 入侵检测系统(intrusion detection system),使用自定义和社区规则集、 预处理器和告警输出插件,在授权网络分段上监控网络流量中的恶意活动。

configuring-pfsense-firewall-rules

9
from killvxk/cybersecurity-skills-zh

配置 pfSense 防火墙规则、NAT 策略、VPN 隧道和流量整形,以强制实施网络分段(network segmentation)、 控制流量,并保护企业及中小型企业环境中的内部网络区域。

configuring-oauth2-authorization-flow

9
from killvxk/cybersecurity-skills-zh

配置安全的 OAuth 2.0 授权流程,包括带 PKCE 的授权码流、客户端凭据和设备授权授予。本技能涵盖流程选择、PKCE 实施、令牌生命周期管理、范围设计以及符合 OAuth 2.1 安全要求。

configuring-microsegmentation-for-zero-trust

9
from killvxk/cybersecurity-skills-zh

为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。