Certificate-Authority
啟動公司的數字證書基礎設施
我需要什麼類型的數字證書產品才能在我的公司內啟動數字安全基礎架構並供我們的客戶使用(通過連結預先信任)?
我相信我需要某種由公共 CA 簽名的根組織證書,並讓我能夠在我的組織內為 SSL 和程式碼簽名、客戶端證書以及我可能需要的任何其他證書創建簽名。我希望連結能夠為客戶驗證頒發的組織證書和公共 CA。
當我去我所知道的主要 CA 時,我沒有看到任何明顯符合我期望的可用產品。
我已經生成了幾次自簽名證書,並且我已經購買了精確域 SSL 證書。但現在我需要一個更大的計劃。
我也知道 CA 系統存在缺陷的觀點/事實,因此您不必在答案中花費太多時間。
您的假設是錯誤的 - 沒有公共 CA 會向您頒發證書以用作您的根證書。
您生成自己的自簽名證書頒發機構並將其分發給客戶以使他們信任您。
然後你用它來簽署你的證書。
所有公共 CA 都是自簽名的 - 它們包含在您的作業系統或瀏覽器中,因為作業系統供應商認為它們值得信賴並添加了它們。如果他們確實為您頒發了簽名證書,您可以使用它為 google.com 或 microsoft.com 製作一個完全有效的證書。那會很糟糕。除非你是 NSA 什麼的,否則他們不會那樣做。
在 Windows 上,通過活動目錄向所有域連接的電腦分發證書幾乎是自動完成的。
如果您想要在您的網路之外受信任的證書,您需要為每個域購買單獨的或萬用字元證書。執行您自己的 CA 通常只在您自己的網路內部使用。它可以在外部工作,但您需要確保人們將您的根證書添加到他們的受信任證書中。