Назад | Перейти на главную страницу

Какой сертификат SSL мне нужен и где его взять?

Я хочу иметь субдомены с SSL в моем домене. Основное отличие состоит в том, что каждый поддомен размещается у другого человека с другой парой открытый ключ / закрытый ключ.

Позвольте мне проиллюстрировать это на примере:

  1. Пользователь отправляет свой открытый ключ и запрашивает поддомен с foo.com
  2. Пользователь добавлен и ему назначена панель субдомена (bar.foo.com). Открытый ключ пользователя сохраняется для будущей проверки на сайте bar.foo.com.
  3. Пользователь переходит на bar.foo.com и видит подтвержденное SSL-соединение.

Насколько я понимаю, это означает, что мне нужно создать центр сертификации, и это нормально. Проблема в том, что, насколько я помню, ЦС нужен особый тип сертификата SSL. Как мне это получить?

Учитывая ваш ответ на мой комментарий выше, я согласен с Лададададой. Создать ЦС легко, но заставить других людей доверять этому сложно: либо вам нужно распространить корневой сертификат ЦС каждому из них (что вы не можете сделать, поскольку вы подтвердили, что они случайные конечные пользователи), либо вам нужно заставить производителей браузеров включить его в их стандартный надежный комплект (и удачи с этим).

Поскольку вы не хотите просто сообщать каждому владельцу поддомена о том, что он делает это сам, ваш единственный оставшийся вариант, который я вижу, - это заставить каждого владельца поддомена сгенерировать CSR, а затем вы действуете как центральная расчетная палата, отправляя каждый из них CSR в центр сертификации.

Многие из крупных домов сертификатов SSL имеют политику, согласно которой вы можете пройти одноразовый длительный процесс, чтобы утвердиться в качестве авторитетного (например) example.com, но как только это будет сделано, приложения, которые вы создадите для всего, что внутри example.com очевидно, действительно проходят очень быстро.

Я не использую Verisign (или Symantec, как они сейчас) и не одобряю их здесь, даже если бы и сделал; Я ссылаюсь на них просто, чтобы вы могли увидеть один пример такого расположения: Портал Symantec, который поможет вам стать авторитетным в домене («Ключевые особенности» включают «Мгновенную выдачу сертификатов на предварительно одобренные домены»). Если вы решите пойти по этому пути, вам следует присмотреться и выбрать поставщика сертификатов SSL, который подходит именно вам.

Вы можете пойти двумя путями, ни один из которых не предполагает, что вы станете центром сертификации. (Я полагаю, что стать центром сертификации - тоже жизнеспособный вариант, это просто не помогает решить вашу проблему и сопряжено с дополнительными расходами и рисками.)

  1. Получите групповой сертификат и раздайте его и связанный с ним закрытый ключ всем людям, размещающим все поддомены вашего сайта.
  2. Попросите каждого человека, размещающего субдомен, получить свой собственный сертификат только для своего субдомена. Это может быть дешево или даже бесплатно.

Вариант 1. сопряжен с очевидным риском распространения вашего закрытого ключа среди множества людей. Если это выяснится, вы захотите, чтобы ваш центр сертификации выпустил отзыв, который часто стоит денег. Вариант 2. означает получение нового сертификата каждый раз при создании поддомена. Это будет не быстро, но должно занять несколько часов.