Certificate

是否可以將根證書的使用限制為域

  • May 27, 2020

我的客戶使用自簽名證書來執行應用程序。為了能夠工作,我必須安裝他們用來簽署證書的根證書。

是否可以配置根證書,使其僅對一個域進行驗證?

根據經驗:

,信任客戶的 CA 證書意味著信任該 CA 簽署的每個證書。

我不知道有任何應用程序/庫有一個簡單的選項,允許您作為最終使用者選擇您將信任您的客戶或任何其他 CA 證書,僅適用於某些(子)域,即僅適用於 *. example.com 和 *.example.org,僅此而已。

Mozilla 對目前受信任的政府贊助的 CA 作為開放關注點也有類似的擔憂,例如Chrome內置了用於訪問 Google 網站的額外檢查,這就是流氓 *.google.com 證書和 Diginotar CA 的妥協公開的原因.

但即使您不信任 CA,您仍然可以導入/信任由該 CA 簽名的特定伺服器證書,這將防止該證書中的主機名出現 SSL 警告。這應該使您的應用程序可以正常執行而不會出現錯誤或投訴。

例外:

X.509v3 PKI 標準中一個未被充分利用的選項是名稱約束擴展,它允許 CA 證書包含授權為其頒發證書的域名模式的白名單和黑名單。

您可能很幸運,您的客戶在設置 PKI 基礎架構並將名稱約束包含在他們的 CA 證書中時已經克制了自己。然後您可以直接導入他們的 CA 證書,並且知道它只能驗證有限範圍的域名。

引用自:https://serverfault.com/questions/670725