Какой магазин CA предлагает продукт, позволяющий подписывать собственные сертификаты SSL? (скажем, по имени субдомена) Есть ли жизнеспособные альтернативы?
Дополнительная информация:
Мы развертываем продукт с безопасным веб-интерфейсом на большом количестве установок в различных местах расположения клиентов. Пользователи-клиенты будут получать доступ к своим порталам из любого обычного веб-браузера. Поскольку замена / продление этих сертификатов в заявке невозможна, идеальным вариантом является длительный срок годности, составляющий десятилетие или более.
Возможные варианты (и минусы):
- Используйте самозаверяющие сертификаты (пользователи увидят ошибку / предупреждение браузера) - Используйте подстановочные знаки или сертификаты с несколькими cn. (менее безопасен, поскольку PK используется совместно недоверяющими клиентами) - Станьте центром сертификации и подписывайте сертификаты (дорого) - покупайте отдельные / групповые сертификаты для каждой установки (дорого и громоздко)
Это зависит от того, что именно вы просите. Если вам нужна возможность создавать и отзывать свои собственные сертификаты, которым доверяют браузеры (то есть от установленного центра сертификации), вам следует поискать поставщика, который предоставит вам управляемый доступ к PKI. Я знаю, что и Thawte, и Verisign предоставляют это.
Если вы хотите создать для использования другими сертификаты, привязанные к доверенному центру сертификации, есть некоторые поставщики, которые делают это, но это стоит МНОГО.
Если, с другой стороны, вы хотите создать сертификаты для собственного внутреннего использования и хотите создать свой собственный CA, который вы вручную импортируете в свой браузер, вы можете сделать это, используя только OpenSSL.
Вам будет интересно это обсуждение Несколько месяцев назад я работал на ServerFault. В нескольких коротких словах, это не то, чем вы захотите заниматься, если у вас нет много времени и денег, чтобы найти решение, которое Зайфер упомянул в ответе Алекса.
Конечно, в зависимости от вашего приложения вы можете стать своим собственным ЦС и распространять этот сертификат среди своих пользователей (в основном устанавливать и «доверять» ему в своих системах), который затем можно использовать для подписания других сертификатов, которые ваши пользователи будут доверие (из-за цепочки доверия).
Прочтите другой вопрос и ответы для более подробной информации.
Дополнительная информация о сертификатах UCC / SAN
IceMage указал ответил мой вопрос об обходном пути для ситуации, похожей на вашу. Эти сертификаты UCC довольно аккуратны и удовлетворяют мои потребности, но они потребовали небольшой дополнительной работы. В этой ветке конкретно обсуждается CACert, но в итоге я купил то, что мне нужно, у GoDaddy. Надеюсь, эта информация вам поможет.
Я не думаю, что вы можете подписывать свои собственные сертификаты даже для поддомена, не пройдя долгий и дорогостоящий процесс, чтобы стать корневым центром сертификации. Сертификату доверяют, потому что он исходит от центра, указанного в вашем веб-браузере.
Это центры сертификации, включенные в Firefox- http://www.mozilla.org/projects/security/certs/included/