根CA证书是证书链的信任锚点,采用自签名方式生成(自己签发自己)。
根CA证书可以用于:
- 签发中间CA证书(使用"CA证书签发"工具)
- 签发终端实体证书(使用"CA证书签发"工具)
- 作为信任根安装到系统或浏览器中
💡 提示:中间CA证书需要使用"CA证书签发"工具,由根CA证书签发生成。
即可生成CA证书
根CA证书生成工具使用指南
根CA证书生成工具是PKI体系搭建的基础工具,能够帮助您快速生成符合行业标准的根证书颁发机构(Root CA)证书。本工具支持RSA、ECDSA、SM2国密等多种算法,为企业内网、测试环境、私有云等场景提供完整的CA证书解决方案。
核心功能详解
🔐 多算法支持
支持主流的密钥算法,满足不同安全级别和合规要求。
RSA:
2048/3072/4096位 - 通用性最好ECDSA:
P-256/P-384/P-521曲线 - 性能更优SM2:
256位国密算法 - 满足国密合规
📋 灵活配置
提供完整的证书主体信息配置,支持自定义有效期和输出格式。
- 通用名称(CN)配置
- 组织信息(O、OU)
- 地理位置信息(C、ST、L)
- 有效期:10-30年可选
- 多格式输出:PEM/DER/PKCS#12
- PKCS#12密码保护
💾 证书管理
支持证书本地存储和云端同步,方便证书管理和跨设备使用。
- 本地缓存保存
- 云端同步备份
- 一键加载历史证书
- 证书信息预览
- 批量下载证书文件
- 证书删除管理
⚡ 安全合规
符合PKI标准,生成的证书可用于企业内网、测试环境等场景。
- 符合X.509 v3标准
- 支持国密SM2算法
- 自签名根CA证书
- 完整的证书信息
- Nginx配置指南
- 证书链支持
使用步骤
配置证书信息
填写CA证书的通用名称(如"My Root CA"),选择有效期(建议10-20年),可展开高级选项配置组织信息
选择密钥算法
根据需求选择RSA(通用)、ECDSA(性能)或SM2(国密),并选择相应的密钥长度或曲线
生成并保存证书
点击"生成CA证书",右侧显示证书信息和文件。可保存到本地或云端,也可批量下载证书文件
什么是根CA证书?
根CA证书(Root CA Certificate)是公钥基础设施(PKI)的信任锚点,位于证书链的最顶层。根CA证书采用自签名方式生成,由自己为自己签发,用于签发中间CA证书和终端实体证书,建立完整的信任链。
根CA证书的核心特征
- 自签名:Issuer(颁发者)和Subject(主体)相同,由自己签发
- 信任锚点:作为证书链的根,建立信任基础
- 长有效期:通常有效期10-30年,提供长期信任
- 高安全性:私钥需要严格保护,通常离线存储
- 签发能力:可签发中间CA和终端证书
证书类型对比
根CA证书
自签名,信任链根
用于签发中间CA和终端证书
中间CA证书
由根CA签发
用于签发终端实体证书
终端证书
由CA签发
用于HTTPS网站、客户端认证
根CA证书应用场景
🏢 企业内网
为企业内部系统签发SSL证书,建立内网PKI体系
🧪 测试环境
为开发和测试环境提供CA证书,模拟生产环境
☁️ 私有云
为私有云平台搭建证书管理体系
🔐 客户端认证
签发客户端证书,实现双向TLS认证
📱 IoT设备
为物联网设备签发设备证书
🔧 代码签名
签发代码签名证书,保证代码完整性
根CA证书的重要性
🔗 建立信任链
作为PKI体系的根,为所有下级证书提供信任基础
🛡️ 安全管控
统一管理企业内部证书,提升安全管控能力
💰 成本优化
避免为每个内部服务购买商业证书,降低成本
⚙️ 灵活配置
自主控制证书有效期、用途等参数,满足特殊需求