Чи можу я бути власною довіреною особою через підписаний проміжний сертифікат?

Чи можу я отримати сертифікат від кореневого ЦА, який потім можу використовувати для підписання власних сертифікатів веб-сервера? Я б, якщо можливо, використовував підписаний сертифікат як проміжний для підписання інших сертифікатів.

Я знаю, що мені доведеться певним чином налаштувати свої системи за допомогою "мого" проміжного сертифіката, щоб надавати інформацію про ланцюжок довіри своїм клієнтам.

Чи можливо це? Чи бажають кореневі ЦТ підписати такий сертифікат? Це дорого?

Передумови

Мені знайомі основи SSL, оскільки це стосується забезпечення веб-трафіку через HTTP. У мене також є основне розуміння того, як працює ланцюг довіри, оскільки веб-трафік захищений "за замовчуванням", якщо ви шифруєте сертифікат, який має дійсну ланцюжок аж до кореневого центру, визначеного браузером / Постачальник ОС.

Я також усвідомлюю, що багато кореневих ЦА почали підписувати сертифікати для кінцевих користувачів (як я) проміжними сертифікатами. Це може зажадати трохи більше налаштування з мого кінця, але в іншому випадку ці сертифікати спрацюють нормально. Я думаю, це пов'язане із захистом їхнього цінного приватного ключа для ЦА та катастрофи, що було б, якби я коли-небудь був поставлений під загрозу.

ПРИКЛАДИ

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=uk&s=dhs

Зараз ми точно не розміри жодної з цих організацій, але вони, здається, роблять щось подібне. Це, безумовно, зробить управління цими сертифікатами набагато приємнішими, особливо враховуючи один із способів розширення сфери нашої платформи електронної комерції.

Ваше запитання читається мені та іншим як "Як я можу видавати сертифікати особам, які знаходяться всередині та поза моєю організацією, яким довіряють довільні користувачі Інтернету?"

Якщо це ваше питання, ніж відповідь - "Ви цього не робите". Якщо це не так, будь ласка, уточніть.

Я також рекомендую прочитати "Захист PKI і сертифікати Windows Server 2008 від Брайана Комара" та розглянути всі різні сценарії PKI для ваших програм. Вам не потрібно використовувати ЦА Майкрософт, щоб щось вийти з книги.

Швидкий пошук показує, що такі речі існують, але якщо "зв’язатися з нами за пропозицією", це не дешево:

https://www.globalsign.com/en/certificate-authority-root-signing/

Я не претендую на компанію, але ця сторінка може дати вам умови для пошуку інших компаній, що роблять те саме.

Якщо ви могли це зробити, що може завадити Joe Malware видавати сертифікат для www.microsoft.com та надавати вам власну "спеціальну" марку оновлень через DNS-викрадач?

FWIW, ось як отримати ваш кореневий сертифікат, включений Microsoft в ОС:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Вимоги досить круті.

Це в основному не відрізняється від того, щоб стати реселлером для цього кореневого центру, що майже напевно коштує великих зусиль та грошей. Це тому, що, як зазначає Тім, ви можете зробити дійсний сертифікат для будь-якого домену, який не повинен бути дозволений, якщо ви не контролюєте цей домен.

Альтернативою є програма для реселерів RapidSSL, в якій вони виконують всю важку роботу та видають із свого корінського СА.

Задайте собі ці два питання:

1. Чи довіряєте ви своїм користувачам правильно імпортувати кореневі сертифікати у свій веб-браузер?
2. Чи є у вас ресурси для партнерства з існуючим кореневим центром?

Якщо відповідь "так" на "1", CAcert вирішив вашу проблему для вас. Якщо відповідь на "2" - "так", загляньте у список надійних кореневих сертифікатів, що постачаються з OpenSSL, Firefox, IE та Safari, і знайдіть його для підписання вашого посередницького сертифіката.

Я думаю, що вам краще зробити це отримати сертифікат підстановки від CA, таким чином ви можете використовувати той же сертифікат на будь-якому субдомені вашого основного домену, але ви не можете видавати сертифікати ні на що інше.

Кореневий ЦС може видавати сертифікат, що дає можливість видавати інші сертифікати, але тільки під певним доменом. Їм потрібно встановити basicConstraints / CA: true та nameConstraints / дозволено; DNS.0 = example.com

Тоді ви можете запускати свій власний офіційний центр і видавати сертифікати, такі як test.example.com (але не test.foobar.com ), які, в свою чергу, будуть довіряти публічній мережі. Я не знаю жодної кореневої служби, яка надає цю послугу, але це дійсно можливо. Якщо хтось натрапить на такого постачальника, будь ласка, дайте мені знати.

Окрім посилання від Джо Н, тут є посилання, яке фактично працює:

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing - це недешево, але такі речі існують для великих підприємств.

Я знаю, що це стара публікація, але я довго і наполегливо шукав щось майже ідентичне цьому. Відлуння від кількох інших постів ... можливо ... все це досить дорого і складно встановити. Ця стаття трохи корисна для "хто це робить" та загального "що стосується" ....

https://aboutssl.org/types-of-root-signing-certificate/

Щодо деяких додаткових даних, які я взяв із деяких розпорошених джерел ... деякі вимоги мають "значну справедливість" та "страхування" ... з яких я виявив, що їх перераховують десь від $ 1 до 5 мільйонів доларів залежно від джерела. Отже, зайве говорити, що це не варіант для малого бізнесу.

Крім того, я бачив публікації, в яких зазначається, що зазвичай буде потрібно близько року, щоб задовольнити всі вимоги та проскочити всі обручі аудиту. Крім того, додаткові витрати, пов'язані з усім процесом, можуть становити від 100 тис. Доларів до + 1 млн. Доларів США, залежно від генерального підрядника + легальні + витрати на оплату праці, а також від кількості перевірок аудиту. Отже, знову ж таки, не задумка для малого бізнесу.