Можно ли купить промежуточный сертификат, чтобы использовать его для подписи сертификатов поддоменов? Он должен распознаваться браузерами, и я не могу использовать подстановочный сертификат.
Поиск пока ничего не дал. Кто-нибудь выдает такие сертификаты?
Проблема в том, что используемая в настоящее время инфраструктура и реализация не поддерживают промежуточные сертификаты, которые ограничены только некоторыми (под) доменами. По сути, это означает, что вы можете использовать любой промежуточный сертификат для подписи любого сертификата, который вам нужен, и браузеры будут доверять ему, даже если это будут сертификаты для доменов, которыми вы не владеете.
Таким образом, такие промежуточные сертификаты выдаются только действительно заслуживающим доверия организациям, что бы это ни значило (но, вероятно, это требует больших денег).
Нет, потому что это было бы нарушением исходного сертификата - браузеры будут доверять вашим сертификатам, и вы можете начать выпускать материалы для google.com и т. Д. - и если вы сделаете это умно, вас будет нелегко получить.
Промежуточные центры сертификации обладают большими полномочиями. Промежуточный ЦС - это центр подписи сертификатов, которому доверяют через корневой сертификат, и ничто в спецификации не позволяет ограничивать подчиненный ЦС.
Таким образом, ни одна уважаемая сертификационная организация не предоставит вам сертификат.
Было / возможно было купить действующий CA у GeoTrust.
На англоязычных страницах товар найти не удалось, но вот архивная версия:
Чтобы приобрести GeoRoot, вы должны соответствовать следующим минимальным требованиям:
- Собственный капитал 5 миллионов долларов и более
- Страхование от ошибок и пропусков не менее 5 миллионов долларов
- Предоставление учредительного договора (или аналогичного) и свидетельства о занимаемой должности
- Письменное и актуальное заявление о практике сертификации (CPS)
- Устройство, совместимое с FIPS 140-2 уровня 2 (GeoTrust сотрудничает с SafeNet, Inc.) для генерации и хранения ключей корневого сертификата.
- Утвержденный продукт CA от Baltimore / Betrusted, Entrust, Microsoft, Netscape или RSA
Продукт все еще доступен на их немецкой странице:
http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/
(Это новый ответ на старый вопрос, потому что я считаю, что это помогает понять, что за сертификатами и CA нет «магии»)
Как расширение утвержденного ответа @Steffen Ullrich
Весь сертификат для идентификации веб-сайтов - это просто бизнес с большими деньгами. Сертификаты X509 определяются (среди прочего) RFC5280 и любой может быть корневым или промежуточным центром сертификации, все зависит от вашего доверия к этому объекту.
Например: если вы находитесь в домене Active Directory, то ваш основной контроллер домена по умолчанию является доверенным корневым центром сертификации. Между тем, никаких других сторонних организаций нет.
В широком Интернете проблема состоит в том, чтобы определить, «кому вы можете доверять», потому что это гораздо больше, чем просто одна компания. И поэтому поставщики браузеров предоставляют настраиваемый произвольный список корневых центров сертификации, которым он будет доверять, без запроса вашего согласия.
То есть: если у вас очень хорошие отношения с Mozilla Foundation, то ваш собственный произвольный самозаверяющий корневой ЦС может быть добавлен в этот список в следующем выпуске их браузера Firefox ... Просто потому, что они так решили!
Более того, нет RFC, определяющего поведение и правила поведения браузеров в отношении сертификатов. Это подразумеваемый консенсус о том, что, поскольку «CN» сертификата совпадает с доменным именем, предполагается, что он совпадает.
Поскольку в какой-то момент этого было недостаточно, все поставщики браузеров неявно устарели, что сертификат с подстановочными знаками в форме *.domain.com
соответствует любому субдомену. Но соответствует только одному уровню: нет sub.sub.domain.com
это почему ? Потому что они так решили.
Теперь о вашем исходном вопросе, что помешало бы вашему сертификату основного домена создавать суб-сертификаты для ваших собственных субдоменов, это простой процесс для проверки браузером, просто получив цепочку сертификатов.
Ответ: ничего
(за исключением того, что технически для этого у вас должен быть «флаг» в сертификате вашего домена)
Поставщики брокеров, если они сочтут это достаточно удобным, могут решить поддержать его.
Однако, вернемся к моему первому утверждению, это бизнес с большими деньгами. Таким образом, те несколько корневых центров сертификации, которые имеют соглашения с поставщиками браузеров, тратят большие суммы денег, чтобы появиться в этом списке. И сегодня они получают эти деньги обратно, потому что вы должны платить за каждый отдельный сертификат поддомена или получать подстановочный знак, который намного дороже. Если бы они позволили вам создавать свои собственные сертификаты поддоменов, это бы значительно снизило их прибыль. Вот почему на сегодняшний день вы не можете этого сделать.
Что ж, вы все еще можете, потому что это будут строго действительные сертификаты x509, но не любой браузер его распознает.