Как создать сертификаты для локальной сети

Идея ЦС состоит в том, чтобы совместно использовать доверие нескольких субъектов.

Если вам нужно просто взаимодействовать с двумя вашими собственными компьютерами , вы можете настроить персональный сертификат (вы можете даже самоподписать их, это может быть предпочтительнее, так как многие приложения, использующие сертификаты, пытаются проверить подписи), то вы добавляете этот сертификат в список одобренных сертификатов клиента. Поэтому, когда этот клиент попытается подключиться, он сможет оценить доверие сертификата сервера (по сути, он получит сертификат от сервера, и поскольку вы добавили этот же сертификат в список доверенных источников, он будет принят).

Этот сценарий не обеспечивает хорошей масштабируемости и должен использоваться только для внутренних целей.

Для внутренней сети с большим количеством клиентов, но все же одним сервером, у вас есть возможность использовать ту же самую технику и придумать способ установки сертификата на все компьютеры (или сделать это для каждого из них, если вы хотите). Проблема такого подхода заключается в том, что вы не можете добавить другой сервер без создания нового сертификата и установить сертификат нового сервера на всех клиентах. Тогда управление собственным ЦС становится интересным. Проще говоря, у CA есть корневой сертификат (самоподписанный сертификат), который будет использоваться для подписи других сертификатов. Используя цепочку доверия, созданную сертификатами, вам нужно будет лишь развернуть корневой сертификат CA на всей машине в сети. Затем они автоматически будут доверять любому сертификату, подписанному вашим корневым сертификатом CA, поэтому вы можете создать столько серверов, сколько вам нужно, сгенерировать сертификат из них, подписать его и все готово.

Примечание: о том, как генерировать сертификаты, пожалуйста, обратитесь к документации менеджера сертификатов (openssl, ...), этот сайт не место, чтобы объяснять, как их использовать.