step-ca 证书生成完整步骤指南

step-ca 是 Smallstep 推出的开源证书颁发机构（CA），通过 step CLI 实现自动化证书生命周期管理。证书生成的核心是客户端-服务器模型：CA 服务器处理签名，客户端生成密钥并请求证书。整个过程强调零信任、短寿命证书（默认24h）和provisioner 授权（如 JWK、OIDC、ACME）。

前提条件：

安装 step CLI（支持 macOS/Linux/Windows）。 网络连通（客户端到 CA 服务器）。

以下是从零到生成第一张证书的6 个核心步骤，每个步骤附带命令、作用、原理及示例。

1. 初始化 CA（step ca init）

命令：

text

step ca init 
  --name "My CA" 
  --dns localhost 
  --address :443 
  --provisioner admin

作用：创建根 CA、中间 CA、私钥、配置文件（config/ca.json），建立 PKI 信任链。 原理：

组件	生成方式	作用
根 CA 证书/私钥	自签名（EC P-256，默认）	信任锚点，不可变，离线存储。
中间 CA 证书/私钥	根 CA 签名	实际签名端实体证书，易轮换保护根安全。
JWK Provisioner	随机密钥对	授权客户端请求证书，支持 token 认证。
CA 指纹	SHA256 哈希	客户端验证 CA 身份，防 MITM 攻击。

输出：~/.step/ca/ 目录，包含所有文件。安全提示：备份私钥，设置强密码。

2. 启动 CA 服务器（step-ca）

命令：

text

step-ca $(step path)/config/ca.json

作用：运行 HTTPS 服务器（默认 :443），暴露 /sign 等 API 端点。 原理：RA/CA 分离架构，服务器验证 provisioner、策略（TTL、SAN），签名 CSR。支持 HA 集群、ACME 协议。日志显示指纹，便于客户端引导。 示例：访问 https://localhost/sign 测试（需 --insecure）。

3. 客户端引导（step ca bootstrap）

命令：

text

step ca bootstrap 
  --ca-url https://ca.example.com 
  --fingerprint <CA-FP>

作用：配置客户端 ~/.step/，信任根 CA，准备后续操作。 原理：指纹验证确保 CA 未被篡改。下载根证书到本地，启用 step 与 CA 通信。零配置信任：无需手动导入 cert。 获取指纹：从服务器日志 Server is listening on :443, fingerprint: <FP>。

4. 生成授权 Token（step ca token）

命令：

text

step ca token myapp.example.com

作用：为特定 subject 生成一次性 JWT token，用于认证证书请求。 原理：JWK Provisioner 签名 token，包含 claims（如 subject、SAN、TTL）。CA 验证 token 有效性、过期、加密强度。防重放：单次使用，支持 OIDC 等高级 auth。 可选：直接用 --san 等 flags 无需 token（默认 provisioner）。

5. 生成私钥 & CSR（step ca certificate 内建）

命令（核心）：

text

TOKEN=$(step ca token myapp.example.com)
step ca certificate 
  myapp.example.com 
  myapp.crt 
  myapp.key 
  --token $TOKEN 
  --san myapp.example.com 
  --not-after 24h

作用：一键输出证书+私钥（PEM 格式）。 原理（内部 3 子步）： 私钥生成：EC/RSA/Ed25519（--kty），默认加密（--password-file）。 CSR 构建：嵌入 subject、SAN、扩展（--set email=foo@bar.com）。 提交签名：POST CSR 到 CA /sign，CA 验证 token → 签名 → 返回 cert。 高级：ACME（--acme）、离线（--offline：本地签名，无网络）。

6. 验证 & 使用证书（step certificate inspect）