我可以通過簽名的中間證書成為我自己的受信任 CA 嗎?
我可以從根 CA 獲得證書,然後我可以使用它來簽署我自己的 Web 伺服器證書嗎?如果可能的話,我會使用簽名證書作為中間來簽署其他證書。
我知道我必須使用“我的”中間證書以某種方式配置我的系統,以便向我的客戶提供有關信任鏈的資訊。
這可能嗎?根 CA 願意簽署這樣的證書嗎?這個很貴嗎?
背景
我熟悉 SSL 的基礎知識,因為它與通過 HTTP 保護 Web 流量有關。我對信任鏈的工作方式也有基本的了解,因為如果您使用具有有效鏈的證書進行加密,則預設情況下會保護 Web 流量,並一直返回到根 CA,由瀏覽器確定/作業系統供應商。
我也知道許多根 CA 已經開始使用中間證書為最終使用者(比如我)簽署證書。這可能需要我進行更多設置,否則,這些證書將正常工作。我想這與保護他們對 CA 的所有有價值的私鑰以及如果我被洩露將是災難有關。
例子
- https://www.microsoft.com
- https://www.sun.com
- https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs
現在,我們絕對不是那些組織的規模,但他們似乎正在做這樣的事情。這肯定會讓這些證書的管理變得更容易接受,尤其是考慮到我們正在擴大電子商務平台範圍的一種方式。
您的問題對我和其他人來說是“如何向我的組織內部和外部任意網際網路使用者信任的實體頒發證書?”
如果那是您的問題,那麼答案是“您沒有。”。如果不是,請澄清。
我還建議閱讀“Brian Komar 撰寫的 Windows Server 2008 PKI 和證書安全性”,並為您的應用程序考慮所有各種 PKI 場景。您無需使用 Microsoft 的 CA 就可以從書中獲得一些東西。
快速搜尋表明存在這樣的事情,但“聯繫我們獲取報價”表明它並不便宜:
https://www.globalsign.com/en/certificate-authority-root-signing/
我沒有對該公司發表任何聲明,但該頁面可能會為您提供用於查找其他公司做同樣事情的條款。