Чи можу я бути власною довіреною особою через підписаний проміжний сертифікат?


23

Чи можу я отримати сертифікат від кореневого ЦА, який потім можу використовувати для підписання власних сертифікатів веб-сервера? Я б, якщо можливо, використовував підписаний сертифікат як проміжний для підписання інших сертифікатів.

Я знаю, що мені доведеться певним чином налаштувати свої системи за допомогою "мого" проміжного сертифіката, щоб надавати інформацію про ланцюжок довіри своїм клієнтам.

Чи можливо це? Чи бажають кореневі ЦТ підписати такий сертифікат? Це дорого?

Передумови

Мені знайомі основи SSL, оскільки це стосується забезпечення веб-трафіку через HTTP. У мене також є основне розуміння того, як працює ланцюг довіри, оскільки веб-трафік захищений "за замовчуванням", якщо ви шифруєте сертифікат, який має дійсну ланцюжок аж до кореневого центру, визначеного браузером / Постачальник ОС.

Я також усвідомлюю, що багато кореневих ЦА почали підписувати сертифікати для кінцевих користувачів (як я) проміжними сертифікатами. Це може зажадати трохи більше налаштування з мого кінця, але в іншому випадку ці сертифікати спрацюють нормально. Я думаю, це пов'язане із захистом їхнього цінного приватного ключа для ЦА та катастрофи, що було б, якби я коли-небудь був поставлений під загрозу.

ПРИКЛАДИ

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=uk&s=dhs

Зараз ми точно не розміри жодної з цих організацій, але вони, здається, роблять щось подібне. Це, безумовно, зробить управління цими сертифікатами набагато приємнішими, особливо враховуючи один із способів розширення сфери нашої платформи електронної комерції.

Відповіді:


9

Ваше запитання читається мені та іншим як "Як я можу видавати сертифікати особам, які знаходяться всередині та поза моєю організацією, яким довіряють довільні користувачі Інтернету?"

Якщо це ваше питання, ніж відповідь - "Ви цього не робите". Якщо це не так, будь ласка, уточніть.

Я також рекомендую прочитати "Захист PKI і сертифікати Windows Server 2008 від Брайана Комара" та розглянути всі різні сценарії PKI для ваших програм. Вам не потрібно використовувати ЦА Майкрософт, щоб щось вийти з книги.


Я високо ціную вклад, але я вважаю, що приклади, які я наводив, визначають частину вашої заяви як "неправильну". Подивіться на ланцюжок довіри для цих сертифікатів, і ви побачите, що між кореневим CA (розподіленим за допомогою браузера / ОС) та сертифікатом, який веб-сервер використовує для шифрування трафіку HTTPS, існує специфічний для підприємства сертифікат.
Клінт Міллер

13
Це не просто сертифікат. Sun / Microsoft / Dell управляє проміжним CA. Керуючи підприємством, громадська організація, що займає громадськість, - це дороге складне завдання, яке вимагає періодичного зовнішнього аудиту. У книзі Комар пояснюється ряд сценаріїв ЦА та пояснюється, чому це так складно. Якщо дизайн вашої програми веде вас по дорозі до становлення КА, вам потрібно довго і наполегливо замислюватися над своїми цілями дизайну та стратегією реалізації.
duffbeer703

8

Швидкий пошук показує, що такі речі існують, але якщо "зв’язатися з нами за пропозицією", це не дешево:

https://www.globalsign.com/en/certificate-authority-root-signing/

Я не претендую на компанію, але ця сторінка може дати вам умови для пошуку інших компаній, що роблять те саме.


3

Якщо ви могли це зробити, що може завадити Joe Malware видавати сертифікат для www.microsoft.com та надавати вам власну "спеціальну" марку оновлень через DNS-викрадач?

FWIW, ось як отримати ваш кореневий сертифікат, включений Microsoft в ОС:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Вимоги досить круті.


Ну, 2 речі, я гадаю. 1. Очевидно, що жоден root CA не дозволить мені підписати сертифікати для інших організацій, які не входять до моєї організації. Вони, можливо, не зможуть перешкодити мені зробити це один раз, але це буде недовго, поки сертифікат, який вони підписали для мене, не буде в списках анулювання, і тоді все закінчиться. 2. Ще важливіше, які "глобальні" методи масштабування існують для викрадення DNS? Проблема з отруєнням кешею, яку прославив Камінський, була виправлена ​​продавцями DNS, правда?
Клінт Міллер

Якщо всі серти, про які ви говорите, належать вашій організації, чи є вони в одному домені верхнього рівня? Якщо це так, краща стратегія може бути SSL-символом (* .mydomain.com).
Тім Хоуланд

На жаль, у мене є більше доменів для захисту, тому масова карта (яка була початковою стратегією) не буде працювати для нас, оскільки ми розширили наш бізнес на випадки, коли потрібен інший домен. Наразі моє рішення - це SAN certs (тематичні альтернативні назви), але дещо болісно створювати новий сертифікат для кожного додавання / видалення іншого домену.
Клінт Міллер

2

Це в основному не відрізняється від того, щоб стати реселлером для цього кореневого центру, що майже напевно коштує великих зусиль та грошей. Це тому, що, як зазначає Тім, ви можете зробити дійсний сертифікат для будь-якого домену, який не повинен бути дозволений, якщо ви не контролюєте цей домен.

Альтернативою є програма для реселерів RapidSSL, в якій вони виконують всю важку роботу та видають із свого корінського СА.


2
Я більше не могла погодитися! Я не хочу перепродавати серти іншим. Я хочу полегшити управління безпекою комунікацій у нашому бізнесі та між нашим бізнесом та клієнтами. Тім задав законне запитання, але я думаю, ви пропускаєте суть.
Клінт Міллер

3
Я дивлюся на це з точки зору Каліфорнії - для них те, що ти просиш, - це стати повноцінним КА у власному праві, що для них досить ризиковано - лише тому, що ти кажеш, що не хочеш робити сертифікати для інших не означає, що ви не будете мати технічні можливості, тому вони захочуть серйозного контролю, щоб переконатися, що ви цього не зробите.
TRS-80

2

Задайте собі ці два питання:

  1. Чи довіряєте ви своїм користувачам правильно імпортувати кореневі сертифікати у свій веб-браузер?
  2. Чи є у вас ресурси для партнерства з існуючим кореневим центром?

Якщо відповідь "так" на "1", CAcert вирішив вашу проблему для вас. Якщо відповідь на "2" - "так", загляньте у список надійних кореневих сертифікатів, що постачаються з OpenSSL, Firefox, IE та Safari, і знайдіть його для підписання вашого посередницького сертифіката.


2

Я думаю, що вам краще зробити це отримати сертифікат підстановки від CA, таким чином ви можете використовувати той же сертифікат на будь-якому субдомені вашого основного домену, але ви не можете видавати сертифікати ні на що інше.


1

Кореневий ЦС може видавати сертифікат, що дає можливість видавати інші сертифікати, але тільки під певним доменом. Їм потрібно встановити basicConstraints / CA: true та nameConstraints / дозволено; DNS.0 = example.com

Тоді ви можете запускати свій власний офіційний центр і видавати сертифікати, такі як test.example.com (але не test.foobar.com ), які, в свою чергу, будуть довіряти публічній мережі. Я не знаю жодної кореневої служби, яка надає цю послугу, але це дійсно можливо. Якщо хтось натрапить на такого постачальника, будь ласка, дайте мені знати.


0

Окрім посилання від Джо Н, тут є посилання, яке фактично працює:

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing - це недешево, але такі речі існують для великих підприємств.


Спробуйте розширити свою відповідь за наданим посиланням. Оскаржуються лише відповіді на посилання.
Конрад Гаєвський

0

Я знаю, що це стара публікація, але я довго і наполегливо шукав щось майже ідентичне цьому. Відлуння від кількох інших постів ... можливо ... все це досить дорого і складно встановити. Ця стаття трохи корисна для "хто це робить" та загального "що стосується" ....

https://aboutssl.org/types-of-root-signing-certificate/

Щодо деяких додаткових даних, які я взяв із деяких розпорошених джерел ... деякі вимоги мають "значну справедливість" та "страхування" ... з яких я виявив, що їх перераховують десь від $ 1 до 5 мільйонів доларів залежно від джерела. Отже, зайве говорити, що це не варіант для малого бізнесу.

Крім того, я бачив публікації, в яких зазначається, що зазвичай буде потрібно близько року, щоб задовольнити всі вимоги та проскочити всі обручі аудиту. Крім того, додаткові витрати, пов'язані з усім процесом, можуть становити від 100 тис. Доларів до + 1 млн. Доларів США, залежно від генерального підрядника + легальні + витрати на оплату праці, а також від кількості перевірок аудиту. Отже, знову ж таки, не задумка для малого бізнесу.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.