Могу ли я получить сертификат от корневого ЦС, который затем можно использовать для подписи собственных сертификатов веб-сервера? Если возможно, я бы использовал подписанный сертификат в качестве промежуточного звена для подписания других сертификатов.
Я знаю, что мне придется настроить свои системы определенным образом с использованием «моего» промежуточного сертификата, чтобы предоставлять информацию о цепочке доверия моим клиентам.
Это возможно? Готовы ли корневые центры сертификации подписывать такой сертификат? Это дорого?
ЗАДНИЙ ПЛАН
Я знаком с основами SSL в части защиты веб-трафика через HTTP. У меня также есть базовое представление о том, как работает цепочка доверия, в том смысле, что веб-трафик защищен "по умолчанию", если вы шифруете с помощью сертификата, имеющего действительную цепочку, вплоть до корневого ЦС, как это определено браузером. / Производитель ОС.
Я также знаю, что многие корневые центры сертификации начали подписывать сертификаты для конечных пользователей (таких как я) с помощью промежуточных сертификатов. С моей стороны может потребоваться дополнительная настройка, но в остальном эти сертификаты будут работать нормально. Я предполагаю, что это связано с защитой их ценного закрытого ключа для CA и катастрофой, которая случится, если я когда-либо буду скомпрометирован.
ПРИМЕРЫ
Мы определенно не размером ни с одной из этих организаций, но похоже, что они делают что-то вроде этого. Это определенно сделало бы управление этими сертификатами намного более приятным, особенно с учетом того, как мы расширяем охват нашей платформы электронной коммерции.
Ваш вопрос читается как для меня, так и для других: «Как мне выдать сертификаты объектам внутри и за пределами моей организации, которым доверяют произвольные пользователи Интернета?»
Если это ваш вопрос, то ответ - «Нет». Если это не так, поясните, пожалуйста.
Я также рекомендую прочитать «Windows Server 2008 PKI и безопасность сертификатов от Брайана Комара» и рассмотреть все различные сценарии PKI для ваших приложений. Вам не нужно использовать центр сертификации Microsoft, чтобы извлечь что-то из книги.
Быстрый поиск показывает, что такие вещи существуют, но с помощью «свяжитесь с нами, чтобы узнать цену» предполагает, что это будет недешево:
https://www.globalsign.com/en/certificate-authority-root-signing/
Я не делаю никаких заявлений о компании, но на этой странице вы можете найти условия для поиска других компаний, делающих то же самое.
Если бы вы могли это сделать, что помешало бы Joe Malware выдать сертификат для www.microsoft.com и предоставить вам его собственный «особый» бренд обновлений посредством перехвата DNS?
FWIW, вот как получить корневой сертификат, включенный Microsoft в ОС:
http://technet.microsoft.com/en-us/library/cc751157.aspx
Требования довольно высокие.
Это в основном неотличимо от того, чтобы стать торговым посредником для этого корневого центра сертификации, что почти наверняка требует больших усилий и денег. Это потому, что, как отмечает Тим, вы можете создать действующий сертификат для любого домена, что не должно быть разрешено, если вы не контролируете этот домен.
Альтернативой является Программа для реселлеров RapidSSL в котором они делают всю тяжелую работу и отправляют из своего корневого центра сертификации.
Задайте себе эти два вопроса:
Если ответ положительный на 1, CAcert решил вашу проблему за вас. Если ответ на 2 положительный, просмотрите список доверенных корневых сертификатов, поставляемых с OpenSSL, Firefox, IE и Safari, и найдите сертификат для подписи промежуточного сертификата.
Я думаю, что вам было бы лучше получить сертификат с подстановкой от CA, таким образом вы можете использовать тот же сертификат на любом поддомене вашего основного домена, но вы не можете выдавать сертификаты ни для чего другого.
Корневой ЦС может выдать сертификат, который позволяет выдавать другие сертификаты, но только в определенном домене. Им нужно установить basicConstraints / CA: true и nameConstraints / разрешено; DNS.0 = example.com
Затем вы можете запустить свой собственный центр сертификации и выдавать сертификаты, например test.example.com (но нет test.foobar.com), которому, в свою очередь, будет доверять общедоступная сеть. Я не знаю ни одного корневого центра сертификации, который предоставляет эту услугу, но это действительно возможно. Если кто-нибудь наткнется на такого провайдера, дайте мне знать.
В дополнение к ссылке от Joe H вот ссылка, которая действительно работает:
https://www.globalsign.com/en/certificate-authority-root-signing/
Подпись CA Root Signing стоит недешево, но она существует для крупных предприятий.
Я знаю, что это старый пост, но я искал долго и упорно что-то почти идентичное этому. Повторяю несколько других сообщений ... это возможно ... все это довольно дорого и сложно установить. Эта статья немного полезна в вопросах, «кто это делает» и «что в этом участвует» ....
https://aboutssl.org/types-of-root-signing-certificates/
Что касается некоторых дополнительных услуг, которые я почерпнул из разрозненных источников ... некоторые из требований включают "существенный капитал" и "страхование" ... из которых, как я обнаружил, перечислены от 1 до 5 миллионов долларов. в зависимости от источника. Так что, разумеется, это не вариант для малого бизнеса.
Кроме того, я видел сообщения, в которых говорилось, что обычно требуется около года, чтобы удовлетворить все требования и перепрыгнуть через все обручи аудита. Кроме того, вспомогательные расходы, связанные со всем процессом, могут варьироваться от 100 тыс. До + 1 млн долларов в зависимости от генерального подрядчика + юридических + трудозатрат, а также от того, сколько аудиторских проверок вы пройдете. Итак, опять же, предприятие не для малого бизнеса.