Назад | Перейти на главную страницу

Альтернативы доверенному корневому сертификату

Учитывая защищенный SSL сайт, который ранее был в белом списке (Разрешить от x.x.x.x и т. Д.), И требование со стороны клиента изменить способ работы аутентификации, чтобы использовать проверку клиента HTTPS X.509.

Проблема заключается в том, что ни один из «обычных подозреваемых» SSL CA не имеет возможности генерировать сертификаты X.509, не покупая услуги Managed PKI CA.

Я когда-либо делал это только для внутренних клиентов, поэтому достаточно легко создать самозаверяющий ЦС и поместить открытый сертификат ЦС в цепочки ключей клиентов. Для внешних клиентов это сделать немного сложнее, и убедить их сделать это.

Похоже, есть варианты: Пройдите по маршруту управляемой службы PKI. - Видимо, это непомерно дорого, а значит, придется заменить и внутренний СА?

ИЛИ

Получите CA для подписи их корневого сертификата.

Это правильно? Кто-нибудь делал что-то подобное раньше? Кто-нибудь знает приблизительную оценку того, сколько может стоить Trusted Root?

Это не вопрос покупок.

Если клиент желает установить клиентские сертификаты в веб-браузеры своих пользователей для доступа к вашему сайту в любом случае, то использование самозаверяющего ЦС на самом деле не такая уж большая проблема, поскольку вы можете просто добавить этот сертификат, пока вы на это.