Napisałem mały program do uruchomienia na komputerze z systemem Windows, który obsługuje strony internetowe SSL / TLS przez port 443 do przeglądarek internetowych. Chcę, aby osoby nietechniczne mogły łatwo zainstalować i uruchomić ten program. Ułatwiłem im tworzenie certyfikatu z podpisem własnym lub żądania podpisania certyfikatu w programie, ale myślę, że będą mieli problemy z podpisaniem CSR i połączeniem z nazwą domeny wskazującą na ich serwer. Chcę zredukować techniczną trudność tego procesu do minimum.
Czy mogę kupić certyfikat SSL, który może podpisywać certyfikaty dla poddomen mojej nazwy domeny? Coś takiego jak customer1.mydomain.com, customer2.mydomain.com itp., A następnie mogłem skierować moje subdomeny DNS na ich serwery i podpisać dla nich ich certyfikaty oraz zautomatyzować cały proces. A może byłoby to bardzo drogie?
Jeśli nie, oprócz hostowania wszystkich aplikacji internetowych na własnym serwerze z certyfikatem * .mydomain.com, jakie jest najprostsze rozwiązanie, jakie mogę im podać w celu skonfigurowania certyfikatów SSL i nazw domen?
źródło
Odpowiedzi:
StartCom ma program pośredniego urzędu certyfikacji . Według strony, do której prowadzi link, program przeznaczony jest dla tych, którzy wydają 1000 lub więcej certyfikatów, a średni koszt to około 2 USD za wydany certyfikat.
źródło
Smutna prawda jest taka, że cel, do którego dążysz, jest technicznie możliwy dzięki atrybutowi „Ograniczenia nazwy x.509 dozwolone podjednostki” zdefiniowane w RFC 2459, sekcja 4.2.1.11 , ale prawie nie znajdziesz żadnego urzędu certyfikacji, który byłby skłonny dostarczyć ci taki certyfikat.
Niektórzy tego nie zrobią z powodu myśli, że jednorazowa sprzedaż takiego certyfikatu nie jest tak dobra, jak wielokrotna sprzedaż wielu certyfikatów na host.
Niektóre nie będą wynikać z samozasilających się wymagań regulacyjnych braindead lub wymagań podmiotów zewnętrznych.
Jest bardzo smutna historia o łańcuchu certyfikatów dużego operatora telekomunikacyjnego, który podpisał pośrednie urzędy certyfikacji dla krajowej sieci badawczej, która z kolei wydała certyfikaty CA uniwersytetom. Choć nie brzmi to jeszcze bardzo smutno, smutek zaczyna się, gdy odważny człowiek z wyżej wspomnianego dostawcy usług telekomunikacyjnych próbował zdobyć certyfikat i łańcuch zaufania włączony do Mozilli Firefox - zajęło to 4 lata dyskusji, recenzji, nieporozumień i jeszcze więcej dyskusji w końcu zostało uwzględnione.
To, co można kupić, to głównie „Usługa zarządzana”, w której można użyć interfejsów urzędu certyfikacji do tworzenia nowych certyfikatów mniej więcej do woli. Oczywiście zazwyczaj kosztuje to dużo pieniędzy i prawdopodobnie zostaniesz dodatkowo obciążony za każdy wydany certyfikat.
źródło
Problem z tym, co zamierzasz, polega na tym, że główny urząd certyfikacji (Verisign, Thawte itp.) Nie ma możliwości ograniczenia podrzędnego urzędu certyfikacji (tego, czego szukasz), aby przypisywał tylko certyfikaty lub był ważny dla określonej domeny . Podrzędny urząd certyfikacji, który łączy się z prawidłowym katalogiem głównym, będzie mógł tworzyć certyfikaty dla całego Internetu. Dlatego nie możesz uzyskać certyfikatu podrzędnego urzędu certyfikacji od nikogo innego niż główny urząd certyfikacji, który sam tworzysz.
Nie możesz zrobić tego, czego szukasz, bez certyfikatu wildcart od jednego z dużych dostawców certyfikatów. Można je kupić, w przeciwieństwie do podrzędnych certyfikatów CA.
źródło
The problem with what you intend is that there is no way: o tak, jest ... Nikt nie chce tego chodzić, ale to kolejny problem.