Чи можу я отримати сертифікат від кореневого ЦА, який потім можу використовувати для підписання власних сертифікатів веб-сервера? Я б, якщо можливо, використовував підписаний сертифікат як проміжний для підписання інших сертифікатів.
Я знаю, що мені доведеться певним чином налаштувати свої системи за допомогою "мого" проміжного сертифіката, щоб надавати інформацію про ланцюжок довіри своїм клієнтам.
Чи можливо це? Чи бажають кореневі ЦТ підписати такий сертифікат? Це дорого?
Передумови
Мені знайомі основи SSL, оскільки це стосується забезпечення веб-трафіку через HTTP. У мене також є основне розуміння того, як працює ланцюг довіри, оскільки веб-трафік захищений "за замовчуванням", якщо ви шифруєте сертифікат, який має дійсну ланцюжок аж до кореневого центру, визначеного браузером / Постачальник ОС.
Я також усвідомлюю, що багато кореневих ЦА почали підписувати сертифікати для кінцевих користувачів (як я) проміжними сертифікатами. Це може зажадати трохи більше налаштування з мого кінця, але в іншому випадку ці сертифікати спрацюють нормально. Я думаю, це пов'язане із захистом їхнього цінного приватного ключа для ЦА та катастрофи, що було б, якби я коли-небудь був поставлений під загрозу.
ПРИКЛАДИ
- https://www.microsoft.com
- https://www.sun.com
- https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=uk&s=dhs
Зараз ми точно не розміри жодної з цих організацій, але вони, здається, роблять щось подібне. Це, безумовно, зробить управління цими сертифікатами набагато приємнішими, особливо враховуючи один із способів розширення сфери нашої платформи електронної комерції.