Когда я создаю роль ЦС, есть опция «Корневой ЦС» и «Подчиненный ЦС», выбор второй добавляет возможность сгенерировать запрос сертификата.
Означает ли это, что я могу купить услугу, например из Comodo, который подпишет мой сертификат CA своим сертификатом и позволит мне создавать самозаверяющие сертификаты для моего домена, которые будут автоматически запускаться всеми распространенными браузерами (и другими службами / приложениями)?
TL; DR: Наверное, нет.
Расширенная версия: это означает, что это технически возможно, но не обязательно означает, что услуга существует.
Основная идея с подчиненным ЦС предназначена для компании, у которой есть настоящий ЦС, то есть они используют его для многих вещей в вашей компании. В таком случае вы можете создать корневой ЦС для своей компании и несколько подчиненных ЦС, чтобы вы могли подписывать разные типы сертификатов с разными подчиненными ЦС.
Однако, позволит ли Comodo или кто-либо еще запустить подчиненный ЦС, который сможет создавать сертификаты, которым будут доверять все браузеры, - это совсем другой вопрос. Существует значительный риск для тех, у кого есть корневой ЦС для этого - если бы вы управляли своим собственным ЦС с недостаточной безопасностью, вы могли бы получить множество ложных сертификатов, подписанных вашим ЦС и которым доверяет любой, кто доверяет Comodo. Это рискует получить все их сертификатов, отмеченных в браузерах как ненадежные, что серьезно подрывает их репутацию и бизнес.
Хотя я не проверял это, я предполагаю, что любой корневой центр сертификации потребует значительных инвестиций в методы обеспечения безопасности со стороны любой компании, которой они доверяют такое доверие. Для правильного запуска центра сертификации на этом уровне требуется большой объем работы, как с технической стороны (например, защита сети, физический доступ к серверам и т. д.), так и по созданию подпрограмм и процедур, разделению обязанностей и т. д. для обеспечения безопасности ЦС. Это не то, к чему нужно относиться легкомысленно.