Могу ли я быть моим собственным доверенным центром сертификации через подписанный промежуточный сертификат?

Могу ли я получить сертификат от корневого ЦС, который я затем смогу использовать для подписи собственных сертификатов веб-сервера? Я бы, если возможно, использовал подписанный сертификат в качестве промежуточного звена для подписи других сертификатов.

Я знаю, что мне пришлось бы настраивать свои системы определенным образом с «моим» промежуточным сертификатом, чтобы предоставлять информацию о цепочке доверия моим клиентам.

Это возможно? Готовы ли корневые центры сертификации подписать такой сертификат? Это дорого?

ЗАДНИЙ ПЛАН

Я знаком с основами SSL, поскольку это касается защиты веб-трафика по HTTP. У меня также есть общее представление о том, как работает цепочка доверия, в том смысле, что веб-трафик защищен «по умолчанию», если вы шифруете с сертификатом, имеющим действительную цепочку, вплоть до корневого ЦС, как определено браузером. / Поставщик ОС.

Мне также известно, что многие корневые центры сертификации начали подписывать сертификаты для конечных пользователей (таких как я) с промежуточными сертификатами. Это может потребовать немного больше настройки с моей стороны, но в противном случае эти сертификаты будут работать нормально. Я предполагаю, что это связано с защитой их ценного закрытого ключа для ЦС и катастрофой, которая случилась бы, если бы я когда-либо был скомпрометирован.

ПРИМЕРЫ

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Теперь мы определенно не являемся размером какой-либо из этих организаций, но они, похоже, делают что-то подобное. Это определенно сделало бы управление этими сертификатами намного более приемлемым, особенно с учетом того, как мы расширяем охват нашей платформы электронной коммерции.

Ваш вопрос звучит для меня и для других как «Как выдавать сертификаты организациям внутри и за пределами моей организации, которым доверяют произвольные пользователи Интернета?»

Если это ваш вопрос, то ответ «Вы этого не делаете». Если это не так, пожалуйста, уточните.

Я также рекомендую прочитать «Windows Server 2008 PKI и безопасность сертификатов Брайана Комара» и рассмотреть все различные сценарии PKI для ваших приложений. Вам не нужно использовать CA от Microsoft, чтобы получить что-то из книги.

Быстрый поиск показывает, что такие вещи существуют, но с «свяжитесь с нами для цитаты» предполагает, что это не будет дешево:

https://www.globalsign.com/en/certificate-authority-root-signing/

Я не предъявляю претензий к компании, но на этой странице могут быть указаны условия, по которым другие компании поступают так же.

Если бы вы могли это сделать, что помешает Джо Малверу выдать сертификат для www.microsoft.com и предоставить вам свой «особый» бренд обновлений с помощью перехвата DNS?

Итак, вот как получить ваш корневой сертификат, включенный Microsoft в ОС:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Требования довольно крутые.

Это в основном неотличимо от того, чтобы стать посредником для этого корневого центра сертификации, что почти наверняка стоит больших усилий и денег. Это потому, что, как отмечает Тим, вы можете сделать действительный сертификат для любого домена, который не должен быть разрешен, если вы не контролируете этот домен.

Альтернативой является реселлерская программа RapidSSL, в которой они выполняют всю тяжелую работу и выпускают из своего корневого центра сертификации.

Задайте себе эти два вопроса:

1. Вы доверяете своим пользователям правильно импортировать корневые сертификаты в их веб-браузер?
2. Есть ли у вас ресурсы для партнерства с существующим корневым центром сертификации?

Если ответ «1», CAcert решил вашу проблему для вас. Если ответ 2 - «да», посмотрите список доверенных корневых сертификатов, поставляемых с OpenSSL, Firefox, IE и Safari, и найдите один для подписи своего промежуточного сертификата.

Я думаю, что вам лучше бы получить сертификат подстановочного знака от центра сертификации, чтобы вы могли использовать тот же сертификат на любом поддомене вашего основного домена, но вы не можете выдавать сертификаты ни для чего другого.

Корневой центр сертификации может выдать сертификат, который позволяет выдавать другие сертификаты, но только в рамках определенного домена. Им нужно установить basicConstraints / CA: true и nameConstraints / разрешено; DNS.0 = example.com

Затем вы можете запустить свой собственный центр сертификации и выдавать сертификаты, такие как test.example.com (но не test.foobar.com ), которым, в свою очередь, будет доверять общедоступная сеть. Я не знаю ни одного корневого CA, который предоставляет эту услугу, но это действительно возможно. Если кто-то сталкивается с таким провайдером, пожалуйста, дайте мне знать.

В дополнение к ссылке от Джо Х, вот ссылка, которая действительно работает:

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing недешев, но такие вещи существуют для крупных предприятий.

Я знаю, что это старый пост, но я искал долго и упорно что-то почти идентичное этому. Повторяя несколько других сообщений ... это возможно ... все это довольно дорого и трудно установить. Эта статья немного полезна в том, «кто это делает» и в общем «что вовлечено» ....

https://aboutssl.org/types-of-root-signing-certificates/

Что касается некоторых дополнительных услуг, которые я выбрал из некоторых разрозненных источников ... некоторые требования касаются "существенной справедливости" и "страховки" ... из которых я нашел в списке от $ 1 млн до $ 5 млн. в зависимости от источника. Так что, само собой разумеется, это не вариант для малого бизнеса.

Кроме того, я видел сообщения о том, что обычно требуется почти год, чтобы удовлетворить все требования и пройти через все проверки. Кроме того, вспомогательные расходы, связанные со всем процессом, могут варьироваться от 100 000 долл. США до + 1 млн. Долл. США в зависимости от генерального подрядчика + юридические + затраты на оплату труда, а также от количества проходов аудита, которые вы прошли. Так что, опять же, не предприятие для малого бизнеса.