Какой тип продукта цифрового сертификата мне нужен для создания инфраструктуры цифровой безопасности в моей компании и для использования нашими клиентами (с предварительным доверием путем объединения)?
Я считаю, что мне нужен какой-то корневой организационный сертификат, который подписывается общедоступным центром сертификации и дает мне возможность создавать подписи других сертификатов в моей организации для SSL, для подписи кода, для клиентских сертификатов и всего, что мне может понадобиться. Я ожидаю, что цепочка будет работать для проверки клиентов на выданный организационный сертификат и до общедоступного центра сертификации.
Когда я обращаюсь в крупные центры сертификации, о которых я знаю, я не вижу доступных продуктов, которые явно соответствовали бы моим ожиданиям.
Я генерировал самозаверяющие сертификаты несколько раз, и я купил сертификаты SSL с точным доменом. Но теперь мне нужен более крупный план.
Мне также известны мнения / факты о том, что система CA ошибочна, поэтому вам не нужно тратить много времени на это в своем ответе.
Ваши предположения неверны - ни один публичный центр сертификации не выдаст вам сертификат для использования в качестве корневого сертификата.
Вы создаете свой собственный самозаверяющий центр сертификации и раздаете его клиентам, чтобы они доверяли вам.
Затем вы используете это для подписания сертификатов.
Все общедоступные центры сертификации являются самозаверяющими - они включены в вашу ОС или браузер, потому что поставщик ОС решил, что они заслуживают доверия, и добавил их. Если они выдали вам сертификат подписи, вы могли бы использовать его для создания совершенно действительного сертификата для google.com или microsoft.com. Это было бы плохо. Если вы не АНБ или что-то в этом роде, они этого не сделают.
В Windows распространение сертификата происходит практически автоматически через активный каталог на все компьютеры, подключенные к домену.
Если вам нужны сертификаты, которым можно доверять за пределами вашей сети, вам необходимо приобрести индивидуальные сертификаты или сертификаты с подстановочными знаками для каждого домена. Запуск собственного центра сертификации обычно используется только в вашей собственной сети. Он может работать извне, но вам нужно убедиться, что люди добавили ваш корневой сертификат в свои доверенные сертификаты.
Если в вашей организации только один домен, вы можете получить сертификат с подстановочными знаками для этого домена.
http://en.m.wikipedia.org/wiki/Wildcard_certificate
Это позволит вам использовать один сертификат для всех поддоменов.
Если у вас несколько доменов, вам понадобится по одному для каждого. Если вы хотите иметь несколько доменов на одном сервере с общим ssl-портом по умолчанию, вам нужно будет использовать указание имени сервера (SNI) для обслуживания правильного сертификата.