1 前言

一个问题，一篇文章，一出故事。
公司配置Squid SSL碰撞时需要使用CA证书，由于购买可以签名的从属CA证书价格不菲且手续繁琐，因此本章阐述如何自己创建非权威的SSL CA证书。

2 最佳实践

2.1 创建证书存储目录

mkdir -p /etc/squid/ssl_cert/

2.2 创建CA证书秘钥对

cd /etc/squid/ssl_cert/
openssl req -new -newkey rsa:2048 -days 3650 -nodes -x509 -keyout bump.key -out bump.crt

需要注意的是，
– 文件“bump.crt”为CA证书的公钥
– 文件“bump.key”为CA证书的私钥
– 文件“bump.crt”为非权威机构CA证书
– 非权威机构CA证书和权威证书机构颁发的CA证书区别是自签名普遍不受浏览器信任

2.3 转为公钥为der格式

cd /etc/squid/ssl_cert/
openssl x509 -in bump.crt -outform DER -out bump.der

注：“der”格式是Firefox支持导入的CA证书格式

参阅文档
========================
https://wiki.squid-cache.org/Features/DynamicSslCert