Я написал небольшую программу для работы на компьютере с Windows, которая обслуживает веб-страницы SSL / TLS через порт 443 для посещения веб-браузеров. Я хочу, чтобы люди без технических знаний могли легко установить и запустить эту программу. Я упростил им создание самозаверяющего сертификата или запроса на подпись сертификата в программе, но я думаю, что они будут бороться с подписанием CSR и подключением к доменному имени, которое указывает на их сервер. Я хочу свести техническую сложность этого процесса к минимуму.
Могу ли я приобрести сертификат SSL, который может подписывать сертификаты для поддоменов моего доменного имени? Что-то вроде customer1.mydomain.com, customer2.mydomain.com и т. Д., А затем я мог бы указать свои поддомены DNS на их серверах и подписать для них их сертификаты и автоматизировать весь процесс. А может это будет очень дорого?
Если нет, то, помимо размещения всех их веб-приложений на моем собственном сервере с сертификатом * .mydomain.com, какое самое простое решение я могу дать им для настройки сертификатов SSL и доменных имен?
Печальная правда заключается в том, что то, к чему вы стремитесь, технически возможно с атрибутом x.509 Name Constraint allowedSubtrees, как определено в RFC 2459, раздел 4.2.1.11, но вы вряд ли найдете какой-либо ЦС, готовый предоставить вам такой сертификат.
Некоторые не будут этого делать из-за мысли, что продать вам такой сертификат один раз не так хорошо, как продать вам много сертификатов для каждого хоста много раз.
Некоторые не сделают этого из-за самоуверенных нормативных требований или требований внешних сторон.
Есть очень-очень печальная история о цепочке сертификатов крупного поставщика телекоммуникационных услуг, который подписал промежуточные центры сертификации для национальной исследовательской сети, которая, в свою очередь, выдала сертификаты центра сертификации университетам. Хотя это еще не звучит очень грустно, грусть начинается с того, что храбрый человек из вышеупомянутого оператора связи пытался получить сертификат и цепочку доверия, включенную в Mozilla Firefox - потребовалось 4 года обсуждений, обзоров, недоразумений и даже больше обсуждений, прежде чем он был наконец включен.
В основном вы можете приобрести некоторую «управляемую услугу», в которой вы будете использовать интерфейсы CA для создания новых сертификатов более или менее по своему желанию. Конечно, это обычно будет стоить больших денег заранее, и с вас, вероятно, будет взиматься дополнительная плата за каждый выданный сертификат.
Проблема с тем, что вы намереваетесь, заключается в том, что у основного ЦС (Verisign, Thawte и т. Д.) Нет возможности ограничить подчиненный ЦС (то, что вы ищете) только назначать сертификаты для определенного домена или быть действительными для него. . Подчиненный ЦС, связанный с действующим корнем, сможет создавать сертификаты для всего Интернета. Вот почему вы не можете получить сертификат подчиненного центра сертификации ни от кого, кроме корневого центра сертификации, который вы создаете сами.
Вы не можете делать то, что ищете, без подстановочного сертификата от одного из крупных поставщиков сертификатов. Их можно купить, в отличие от сертификатов подчиненных ЦС.
StartCom имеет Программа промежуточного центра сертификации. Согласно связанному сайту, программа предназначена для тех, кто выдает 1000 или более сертификатов, и средняя стоимость одного выпущенного сертификата составляет около 2 долларов.