<div dir="ltr">Dear folks<div><br></div><div>While we are able to request testbed certificates from ndncert website, when doing experiments, it's undesirable to request testbed certificates for all nodes.</div><div>Suppose someone wants to start a certificate chain from scratch, how could this be done?</div><div><br></div><div>Specifically, what are the commands to:</div><div><ol><li>generate a root certificate: /example/KEY/ksk-1/ID-CERT</li><li>generate a site certificate and sign it by root certificate: /example/KEY/site1/ksk-2/ID-CERT</li><li>generate a user certificate and sign it by site certificate: /example/site1/KEY/user1/ksk-3/ID-CERT</li><li>publish root, site, user certificate in a repository or ndns system</li><li>generate a data signing certificate and sign it by user certificate: /example/site1/user1/KEY/dsk-4/ID-CERT</li></ol></div><div><br></div><div>Another question is: why is testbed root certificate named /ndn/KEY/ksk-xxxx/ID-CERT, instead of /KEY/ndn/ksk-xxxx/ID-CERT</div><div><br></div><div>Yours, Junxiao</div></div>