Отримання проміжного сертифіката SSL

Чи можна придбати проміжний сертифікат, щоб використовувати його для підписання сертифікатів на субдомен? Він повинен бути розпізнаний браузерами, і я не можу використовувати сертифікат підстановки.

Пошук поки що не виявив нічого. Хтось видає такі сертифікати?

Проблема полягає в тому, що використовувана в даний час інфраструктура та реалізація не підтримують проміжні сертифікати, обмежені лише деякими (суб) доменами. Це фактично означає, що ви можете використовувати будь-який проміжний сертифікат, щоб підписати будь-який потрібний вам сертифікат, і браузери будуть йому довіряти, навіть якщо це будуть сертифікати для доменів, якими ви не володієте.

Таким чином, такі проміжні сертифікати видаються лише справді надійним організаціям, що б це не означало (але багато грошей, мабуть, задіяно).

Ні, тому що це буде порушенням оригінального сертифіката - браузери довіряють вашим сертифікатам, і ви можете почати видавати матеріали для google.com тощо. - І якщо ви зробите це розумним, отримати це буде непросто.

Органи проміжних сертифікатів мають велику силу. Проміжний CA - це орган, що підписує сертифікат - якому довіряють через кореневий сертифікат - і нічого в специфікації не дозволяє обмежувати підлеглий CA.

Таким чином, жодна поважна організація сертифікатів не збирається дарувати вам її.

Можна придбати дійсний КА від GeoTrust.

Мені не вдалося знайти продукт на англійських сторінках, але ось архівна версія:

http://archive.is/q01DZ

Щоб придбати GeoRoot, ви повинні відповідати наступним мінімальним вимогам:

• Чиста вартість 5 млн. Дол. США або більше
• Мінімум 5 мільйонів доларів США на страхування на помилки та пропуски
• Статут (або подібне) та наданий сертифікат постійної відповідальності
• Письмова та підтримувана заява про практику сертифікації (CPS)
• Пристрій, сумісний з FIPS 140-2 рівня 2 (GeoTrust співпрацює з SafeNet, Inc.) для створення та зберігання ключів кореневих сертифікатів
• Затверджений продукт CA від Baltimore / Betrusted, Entrust, Microsoft, Netscape або RSA

Товар все ще доступний на їх німецькій сторінці:

http://www.geotrust.com/de/enterprise-ssl-certificate/georoot/

(Це нова відповідь на старе запитання, тому що я вважаю, що це допомагає зрозуміти, що за сертифікатами та CA немає "магії")

Як продовження затвердженої відповіді, наданої @Steffen Ullrich

Весь сертифікат на виявлення речей на веб-сайтах - це просто великий грошовий бізнес. Сертифікати X509 визначені (серед інших) RFC5280, і будь-хто може бути кореневим CA або проміжним CA, все залежить від довіри, яку ви маєте щодо цієї сутності.

Наприклад: якщо ви перебуваєте в домені Active Directory, то ваш основний контролер домену за замовчуванням є надійним кореневим сертифікаційним органом. Тим часом, інших сторонніх осіб абсолютно немає.

У широкому Інтернеті проблема полягає у визначенні "кому можна довіряти", оскільки це набагато більше, ніж лише одна компанія. Отже, постачальники браузерів надають власний довільний список кореневого CA, якому він буде довіряти, не вимагаючи вашої згоди.

Т.е.: Якщо у вас дуже хороші стосунки з фондом Mozilla, тоді ваш власний довільний корінний підпис із власним підписом може бути доданий до цього списку при наступному випуску їх браузера Firefox ... Просто тому, що вони вирішили це!

Більше того, не існує RFC, який визначав би поведінку та правила того, як повинні вести себе браузери щодо сертифікатів. Це мається на увазі, що оскільки "CN" сертифіката дорівнює доменному імені, воно повинно відповідати.

Оскільки цього в певний момент було недостатньо, усі постачальники браузерів явно старіли, що сертифікат форми підкреслюваної підстановки *.domain.comбуде відповідати будь-якому субдомену. Але це відповідає лише одному рівню: ні sub.sub.domain.comчому це? Бо вони просто так вирішили.

Тепер щодо вашого первинного запитання, що може перешкодити, щоб ваш основний доменний сертифікат був дозволений створювати суб-сертифікати для власних субдоменів, це простий процес для перевірки браузера, лише отримавши ланцюжок сертифікатів.

Відповідь: нічого

(за винятком того, що технічно ви повинні мати "прапор" у своєму власному сертифікаті домену)

Постачальники бросерів, якщо вони вважають це досить зручним, можуть вирішити його підтримати.

Однак, повернувшись до моєї першої заяви, це великі гроші з грошима. Тож ті кілька кореневих служб CA, які мають угоди з постачальниками браузерів, витрачають великі гроші, щоб відобразитися в цьому списку. І сьогодні вони отримують ці гроші назад, тому що вам потрібно заплатити за кожен окремий сертифікат на субдомен або отримати підстановку, яка коштує набагато дорожче. Якби вони дозволили вам створити власні сертифікати на субдомен, це надзвичайно скоротить їх прибуток. Тож ось чому на сьогоднішній день ви не можете цього зробити.

Ну, ви все ще можете, тому що це були б строго дійсні сертифікати x509, але жоден браузер не визнавав би це.