Tôi có thể là CA đáng tin cậy của riêng mình thông qua chứng chỉ trung gian đã ký không?

Tôi có thể lấy chứng chỉ từ một CA gốc mà sau đó tôi có thể sử dụng để ký chứng chỉ máy chủ web của riêng mình không? Tôi sẽ, nếu có thể, sử dụng một chứng chỉ đã ký như một trung gian để ký các certs khác.

Tôi biết rằng tôi sẽ phải định cấu hình hệ thống của mình theo một cách nhất định với chứng chỉ trung gian "của tôi" để cung cấp thông tin về chuỗi tin cậy cho khách hàng của tôi.

Điều này có thể không? Các CA gốc có sẵn sàng ký một chứng chỉ như thế này không? Nó có đắt không

LÝ LỊCH

Tôi quen thuộc với những điều cơ bản của SSL vì nó liên quan đến việc đảm bảo lưu lượng truy cập web qua HTTP. Tôi cũng có hiểu biết cơ bản về cách thức hoạt động của chuỗi tin cậy, trong đó lưu lượng truy cập web được bảo mật "theo mặc định" nếu bạn mã hóa bằng chứng chỉ có chuỗi hợp lệ hoàn toàn trở về CA gốc, như được xác định bởi trình duyệt / Nhà cung cấp hệ điều hành.

Tôi cũng biết rằng nhiều CA gốc đã bắt đầu ký chứng chỉ cho người dùng cuối (như tôi) bằng chứng chỉ trung gian. Điều đó có thể yêu cầu thiết lập thêm một chút vào cuối của tôi, nhưng nếu không, các chứng chỉ đó sẽ hoạt động tốt. Tôi đoán điều này có liên quan đến việc bảo vệ khóa riêng hoàn toàn có giá trị của họ cho CA và thảm họa sẽ xảy ra nếu tôi bị xâm phạm.

VÍ DỤ

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Bây giờ, chúng tôi chắc chắn không phải là quy mô của bất kỳ tổ chức nào trong số đó, nhưng dường như họ đang làm một cái gì đó như thế này. Nó chắc chắn sẽ làm cho việc quản lý các chứng chỉ này trở nên hợp lý hơn rất nhiều, đặc biệt là xem xét một cách chúng tôi đang mở rộng phạm vi của nền tảng thương mại điện tử.

Câu hỏi của bạn đọc cho tôi và cho người khác là "Làm cách nào để tôi cấp chứng chỉ cho các thực thể trong và ngoài tổ chức của mình được người dùng internet tùy ý tin cậy?"

Nếu đó là câu hỏi của bạn hơn câu trả lời là "Bạn không." Nếu không, xin vui lòng làm rõ.

Tôi cũng khuyên bạn nên đọc "Windows Server 2008 PKI và Chứng chỉ bảo mật của Brian Komar" và xem xét tất cả các kịch bản PKI khác nhau cho các ứng dụng của bạn. Bạn không cần sử dụng CA của Microsoft để lấy thứ gì đó ra khỏi cuốn sách.

Một tìm kiếm nhanh cho thấy những thứ như vậy tồn tại, nhưng với 'liên hệ với chúng tôi để báo giá' cho thấy nó sẽ không rẻ:

https://www.globalsign.com/en/certert-masterity-root-signing/

Tôi không tuyên bố gì về công ty, nhưng trang đó có thể cung cấp cho bạn các điều khoản để sử dụng để tìm các công ty khác làm điều tương tự.

Nếu bạn có thể làm điều này, điều gì sẽ ngăn Joe Malware cấp chứng chỉ cho www.microsoft.com và cung cấp cho bạn nhãn hiệu cập nhật "đặc biệt" của riêng mình thông qua một vụ cướp DNS?

FWIW, đây là cách lấy chứng chỉ gốc của bạn được Microsoft đưa vào HĐH:

http://technet.microsoft.com/en-us/l Library / cc751157.aspx

Các yêu cầu là khá dốc.

Điều này về cơ bản không thể phân biệt được với việc trở thành người bán lại cho CA gốc đó, điều gần như chắc chắn sẽ tốn rất nhiều công sức và tiền bạc. Điều này là do, như Tim lưu ý, bạn có thể tạo chứng chỉ hợp lệ cho bất kỳ tên miền nào, điều này không được phép trừ khi bạn kiểm soát tên miền đó.

Một thay thế là chương trình đại lý bán lẻ của RapidSSL trong đó họ làm tất cả công việc khó khăn và vấn đề từ CA gốc của họ.

Hãy tự hỏi mình hai câu hỏi sau:

1. Bạn có tin tưởng người dùng của mình nhập đúng chứng chỉ gốc vào trình duyệt web của họ không?
2. Bạn có tài nguyên để hợp tác với một CA gốc không?

Nếu câu trả lời là có cho 1, CAcert đã giải quyết vấn đề của bạn cho bạn. Nếu câu trả lời cho 2 là có, hãy xem danh sách các chứng chỉ gốc đáng tin cậy được cung cấp với OpenSSL, Firefox, IE và Safari và tìm một để ký chứng chỉ trung gian của bạn.

Tôi nghĩ rằng những gì bạn nên làm tốt hơn là nhận chứng chỉ ký tự đại diện từ CA, theo cách đó bạn có thể sử dụng cùng một chứng chỉ trên bất kỳ tên miền phụ nào trong tên miền chính của mình, nhưng bạn không thể cấp chứng chỉ cho bất kỳ điều gì khác.

CA gốc có thể cấp chứng chỉ cho phép cấp chứng chỉ khác, nhưng chỉ dưới một tên miền cụ thể. Họ cần đặt basicConstraint / CA: true và nameConstraint / allow; DNS.0 = example.com

Sau đó, bạn có thể tự do chạy CA của riêng mình và cấp chứng chỉ như test.example.com (nhưng không phải test.foobar.com ) mà lần lượt sẽ được tin cậy bởi web công cộng. Tôi không biết bất kỳ CA gốc nào cung cấp dịch vụ này, nhưng thực sự là có thể. Nếu bất cứ ai tình cờ gặp một nhà cung cấp như vậy, xin vui lòng cho tôi biết.

Ngoài liên kết từ Joe H, đây là một liên kết thực sự hoạt động:

https://www.globalsign.com/en/certert-masterity-root-signing/

CA Root Signing không rẻ, nhưng những thứ đó tồn tại cho các doanh nghiệp lớn hơn.

Tôi biết đây là một bài viết cũ, nhưng tôi đã tìm kiếm rất lâu và khó cho một cái gì đó gần giống với cái này. Báo lại từ một vài bài đăng khác ... có thể ... tất cả đều khá tốn kém và khó thiết lập. Bài viết này là một chút hữu ích trong "ai làm việc đó" và nói chung "những gì liên quan" ....

https://aboutssl.org/types-of-root-signing-certert/

Đối với một số tính năng bổ sung mà tôi đã chọn từ một số nguồn phân tán ... một số yêu cầu là có "vốn chủ sở hữu đáng kể" và "bảo hiểm" ... trong đó tôi đã tìm thấy được liệt kê ở bất cứ đâu từ $ 1M đến $ 5M tùy theo nguồn. Vì vậy, không cần phải nói, đây không phải là một lựa chọn cho một doanh nghiệp nhỏ.

Ngoài ra, tôi đã thấy các bài đăng nói rằng thường sẽ mất gần một năm để đáp ứng tất cả các yêu cầu và vượt qua tất cả các vòng kiểm toán. Hơn nữa, các chi phí phụ trợ liên quan đến toàn bộ quá trình có thể dao động từ $ 100k đến + $ 1M tùy thuộc vào tổng thầu + chi phí pháp lý + lao động cũng như số lần kiểm toán bạn trải qua. Vì vậy, một lần nữa, không phải là một liên doanh cho một doanh nghiệp nhỏ.