CFSSL Trust Store 项目使用教程

CFSSL Trust Store 项目使用教程

cfssl_trust CFSSL's CA trust store repository 项目地址: https://gitcode.com/gh_mirrors/cf/cfssl_trust

1. 项目介绍

CFSSL Trust Store 是 Cloudflare 用于 CFSSL 的 CA 信任库仓库。该项目包含了 CFSSL 使用的信任根证书和中间证书，以及用于构建这些证书的源数据。CFSSL Trust Store 的主要目的是确保 CFSSL 在不同系统上能够验证最大数量的信任库。

项目的主要文件包括：

• ca-bundle.crt：包含信任根证书。
• ca-bundle.crt.metadata：包含构建通用捆绑包时所需的关键信息。
• int-bundle.crt：包含已知的中间证书。
• trusted_roots：包含来自多个系统的根证书库，如 NSS、OS X、Windows、Android 等。

2. 项目快速启动

2.1 环境准备

在开始之前，确保你已经安装了 Go 语言环境，并且可以通过 go get 命令获取 Go 包。

# 安装必要的工具
go get -u github.com/kisom/goutils/cmd/certdump
go get -u github.com/cloudflare/cfssl/cmd/...
go get -u github.com/cloudflare/cfssl_trust/...

2.2 构建信任库

使用以下命令构建最终的信任库文件（ca-bundle.crt 和 int-bundle.crt）：

./release.sh

该命令会自动移除过期的证书，并将更改推送到新的发布分支。

2.3 添加新的根证书或中间证书

你可以通过设置 NEW_ROOTS 和 NEW_INTERMEDIATES 变量来添加新的根证书或中间证书：

NEW_ROOTS="/path/to/root1 /path/to/root2"
NEW_INTERMEDIATES="/path/to/int1 /path/to/int2"
./release.sh

2.4 检查过期或吊销的证书

使用以下命令检查数据库中是否有过期或吊销的中间证书或根证书：

# 检查中间证书
cfssl-trust -d ./cert.db -b int expiring

# 检查根证书
cfssl-trust -d ./cert.db -b ca expiring

3. 应用案例和最佳实践

3.1 应用案例

CFSSL Trust Store 主要用于确保 CFSSL 在不同操作系统和浏览器中能够验证最大数量的信任库。例如，当你在开发一个需要跨平台验证证书的应用程序时，CFSSL Trust Store 可以帮助你确保证书在所有系统上都能被正确验证。

3.2 最佳实践

• 定期更新信任库：定期运行 ./release.sh 脚本以确保信任库中的证书是最新的，并且没有过期的证书。
• 自定义信任库：根据你的需求，可以自定义 ca-bundle.crt.metadata 文件，以确保构建的信任库符合你的特定需求。
• 监控证书状态：使用 cfssl-trust 工具定期检查证书的状态，确保没有过期或吊销的证书。

4. 典型生态项目

CFSSL Trust Store 是 CFSSL 生态系统的一部分，CFSSL 是一个用于生成、签名和验证证书的工具包。以下是一些与 CFSSL 相关的典型生态项目：

• CFSSL：Cloudflare 的 PKI/TLS 工具包，用于生成、签名和验证证书。
• mkbundle：CFSSL 提供的工具，用于构建信任链。
• goutils：包含一些有用的 Go 工具，如 certdump，用于处理证书数据。

通过这些工具和项目的结合使用，你可以构建一个完整的 PKI 基础设施，确保你的应用程序在不同环境中都能安全运行。

cfssl_trust CFSSL's CA trust store repository 项目地址: https://gitcode.com/gh_mirrors/cf/cfssl_trust