企业内部自建证书

工具部署
```
mkdir -p /data/step-ca-docker/
cd /data/step-ca-docker/
mkdir -p config  secrets certs
chmod -R 777 .
chown -R 1000:1000 .

# 创建密码文件（使用您的固定密码）
echo "1Dp3ZtvQaeareoI1KtsQa5SGfDJh6rCQ" > secrets/password

# 设置密码文件权限（重要！）
chmod 777 secrets/password

#用来生成配置文件的
docker run --rm -it \
  -v $(pwd)/config:/home/step/config \
  -v $(pwd)/secrets:/home/step/secrets \
  -v $(pwd)/certs:/home/step/certs \
  smallstep/step-ca:latest \
  step ca init \
  --deployment-type=standalone \
  --name="wilcom.com.cn" \
  --dns="172.16.0.167,ca.wilcom.com.cn" \
  --address=":9000" \
  --provisioner="admin@wilcom.com.cn" \
  --password-file=/home/step/secrets/password

###
  --name="wilcom.com.cn"  是 CA 的名称/标识符
  --dns="172.16.0.167,ca.wilcom.com.cn" 解析使用2种方式，域名解析需要在dns配置好关系
  --provisioner="admin@wilcom.com.cn" 这是账号名称， secrets/password是密码

# CA服务启动
docker run -d \
  --name step-ca \
  --restart unless-stopped \
  -p 9000:9000 \
  -v /data/step-ca-docker/config:/home/step/config \
  -v /data/step-ca-docker/certs:/home/step/certs \
  -v /data/step-ca-docker/secrets:/home/step/secrets \
  smallstep/step-ca:latest \
  step-ca /home/step/config/ca.json \
  --password-file /home/step/secrets/password
```

服务验证
```
docker logs step-ca
curl https://172.16.0.167:9000/health
curl https://ca.wilcom.com.cn:9000/health

获取根证书
curl -k https://172.16.0.167:9000/roots.pem -o root_ca.crt

# 查看证书
openssl x509 -in root_ca.crt -text -noout

# 测试其他端点
curl -k https://172.16.0.167:9000/version

```

生成证书客户端
```
# 安装 step CLI
curl -LO https://github.com/smallstep/cli/releases/download/v0.25.2/step_linux_0.25.2_amd64.tar.gz
tar -xf step_linux_0.25.2_amd64.tar.gz
cp step_0.25.2/bin/step /usr/local/bin/

# 配置信任 CA
step ca bootstrap \
  --ca-url https://172.16.0.167:9000 \
  --fingerprint b810728dbf7ac3a592f0a5cb512067711920aea9a3489c690b885eaa09e9714d

# 验证
step certificate inspect https://172.16.0.167:9000 --insecure

# 方法B：如果上面方法不行，先下载根证书
curl -k https://172.16.0.167:9000/roots.pem -o /tmp/root_ca.crt
step certificate inspect /tmp/root_ca.crt

签发证书的几种方法
方法1：交互式签发（最简单）
# 这会提示输入密码，输入: 1Dp3ZtvQaeareoI1KtsQa5SGfDJh6rCQ
step ca certificate web.wilcom.com.cn web.crt web.key

# 查看证书
step certificate inspect web.crt

方法2：使用密码文件（自动化）
# 创建密码文件
echo "1Dp3ZtvQaeareoI1KtsQa5SGfDJh6rCQ" > ~/.step-ca-password
chmod 600 ~/.step-ca-password

# 使用密码文件签发
step ca certificate \
  --provisioner admin@wilcom.com.cn \
  --password-file ~/.step-ca-password \
  web.wilcom.com.cn web.crt web.key
  
方法3：签发带 SAN 的证书
# 签发包含多个域名和IP的证书
step ca certificate \
  --san www.wilcom.com.cn \
  --san api.wilcom.com.cn \
  --san 172.16.0.100 \
  --not-after 8760h \
  web.wilcom.com.cn web.crt web.key

步骤4：验证签发的证书
# 查看证书信息
step certificate inspect server.crt

# 检查证书链
openssl verify -CAfile <(curl -s https://172.16.0.167:9000/roots.pem) server.crt

# 查看证书内容
openssl x509 -in server.crt -text -noout | head -30
```

示例：
```
# 为 web 服务器签发证书
step ca certificate webserver.example.com webserver.crt webserver.key \
  --san webserver.example.com \
  --san 192.168.1.100 \
  --san "*.example.com" \
  --not-after 8760h  # 1年有效期

# 查看证书
step certificate inspect webserver.crt
```

浏览器信任（验证 HTTPS）

```
下载certs/root_ca.crt

步骤2：导入证书
双击 root_ca.crt 文件

点击 "安装证书"

选择 "本地计算机" → 下一步

选择 "将所有证书放入下列存储"

点击 "浏览" → 选择 "受信任的根证书颁发机构"

点击 "确定" → "下一步" → "完成"

```

对于linux系统比如centos
```
# 1. 复制根证书到系统证书目录
sudo cp /data/step-ca-docker/certs/root_ca.crt /etc/pki/ca-trust/source/anchors/root_ca.crt

# 2. 更新系统信任存储
sudo update-ca-trust

# 3. 验证安装
ls -la /etc/pki/ca-trust/source/anchors/ | grep root

curl https://web.wilcom.com.cn
```