Получение промежуточного SSL-сертификата

Можно ли купить промежуточный сертификат, чтобы использовать его для подписи поддоменов? Это должно быть признано браузерами, и я не могу использовать подстановочный сертификат.

Поиск пока ничего не дал. Кто-нибудь выдает такие сертификаты?

Проблема в том, что используемая в настоящее время инфраструктура и реализация не поддерживают промежуточные сертификаты, которые ограничены только некоторыми (суб) доменами. По сути, это означает, что вы можете использовать любой промежуточный сертификат для подписи любого требуемого сертификата, и браузеры будут доверять ему, даже если это будут сертификаты для доменов, которыми вы не владеете.

Таким образом, такие промежуточные сертификаты выдаются только действительно заслуживающим доверия организациям, что бы это ни значило (но, вероятно, это связано с большими деньгами).

Нет, потому что это будет нарушением оригинального сертификата - браузеры будут доверять вашим сертификатам, и вы можете начать выпускать материалы для google.com и т. Д. - и если вы сделаете это умно, вас будет нелегко получить.

Промежуточные центры сертификации обладают большой властью. Промежуточный ЦС - это центр подписи сертификата, которому доверяют через корневой сертификат, и ничто в спецификации не позволяет ограничить подчиненный ЦС.

Таким образом, ни одна авторитетная организация по выдаче сертификатов не предоставит ее вам.

Можно / было возможно купить действительный CA от GeoTrust.

Я не смог найти продукт на английских страницах, но вот заархивированная версия:

http://archive.is/q01DZ

Для покупки GeoRoot вы должны соответствовать следующим минимальным требованиям:

• Чистая стоимость 5 миллионов долларов или больше
• Минимум 5 миллионов долларов в страховании от ошибок и пропусков
• Устав (или аналогичный) и свидетельство о заполнении
• Письменное и поддерживаемое свидетельство о практике сертификации (CPS)
• Устройство FIPS 140-2 уровня 2 (GeoTrust сотрудничает с SafeNet, Inc.) для генерации и хранения ключей корневого сертификата.
• Одобренный продукт CA от Балтимора / Betrusted, Entrust, Microsoft, Netscape или RSA

Продукт по-прежнему доступен на их немецкой странице:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

(Это новый ответ на старый вопрос, потому что я считаю, что это помогает понять, что за сертификатами и CA нет "магии")

В качестве продолжения утвержденного ответа, данного @Steffen Ullrich

Весь сертификат для идентификации сайтов - это просто бизнес с большими деньгами. Сертификаты X509 определяются (среди прочего) RFC5280, и любой может быть корневым ЦС или промежуточным ЦС, все зависит от вашего доверия к этому объекту.

Например: если вы находитесь в домене Active Directory, то ваш основной контроллер домена по умолчанию является доверенным корневым центром сертификации. Между тем, никаких сторонних сторон в этом нет.

В широком Интернете проблема заключается в том, чтобы определить «кому вы можете доверять», потому что он намного больше, чем одна компания. И поэтому поставщики браузеров предоставляют произвольный список корневых ЦС, которым он будет доверять, не запрашивая вашего согласия.

То есть: если у вас очень хорошие отношения с фондом Mozilla, то ваш собственный самозаверяющий корневой CA может быть добавлен в этот список в следующей версии их браузера Firefox ... Просто потому, что они решили это!

Более того, нет RFC, определяющего поведение и правила поведения браузеров в отношении сертификатов. Это подразумеваемое единодушие в том, что, поскольку «CN» сертификата равно имени домена, предполагается, что оно совпадает.

Поскольку в какой-то момент этого было недостаточно, все производители браузеров неявно указали, что подстановочный знак формы *.domain.comбудет соответствовать любому поддомену. Но это соответствует только одному уровню: нет, sub.sub.domain.comпочему это? Потому что они просто так решили.

Теперь о вашем первоначальном вопросе: что помешает тому, чтобы вашему первичному сертификату домена было разрешено создавать под-сертификаты для ваших собственных поддоменов, это простой процесс, который браузер может проверить, просто получив цепочку сертификатов.

Ответ: ничего

(за исключением того, что технически у вас должен быть «флаг» в вашем собственном доменном сертификате, чтобы сделать это)

Продавцы брокеров, если они находят это достаточно удобным, могут решить поддержать его.

Однако, возвращаясь к моему первому заявлению, это бизнес с большими деньгами. Таким образом, те немногие корневые CA, которые имеют соглашения с поставщиками браузеров, тратят большие суммы денег, чтобы появиться в этом списке. И сегодня они получают эти деньги обратно, потому что вы должны платить за каждый отдельный сертификат субдомена или получать групповой символ, который намного дороже. Если бы они позволили вам создавать собственные сертификаты субдоменов, это бы значительно сократило их прибыль. Вот почему на сегодняшний день вы не можете это сделать.

Ну, вы все еще можете, потому что это были бы действительно действительные сертификаты x509, но не любой браузер распознал бы это.