Czy mogę kupić certyfikat dla mojej domeny, który może podpisywać inne certyfikaty dla poddomen?

23

Napisałem mały program do uruchomienia na komputerze z systemem Windows, który obsługuje strony internetowe SSL / TLS przez port 443 do przeglądarek internetowych. Chcę, aby osoby nietechniczne mogły łatwo zainstalować i uruchomić ten program. Ułatwiłem im tworzenie certyfikatu z podpisem własnym lub żądania podpisania certyfikatu w programie, ale myślę, że będą mieli problemy z podpisaniem CSR i połączeniem z nazwą domeny wskazującą na ich serwer. Chcę zredukować techniczną trudność tego procesu do minimum.

Czy mogę kupić certyfikat SSL, który może podpisywać certyfikaty dla poddomen mojej nazwy domeny? Coś takiego jak customer1.mydomain.com, customer2.mydomain.com itp., A następnie mogłem skierować moje subdomeny DNS na ich serwery i podpisać dla nich ich certyfikaty oraz zautomatyzować cały proces. A może byłoby to bardzo drogie?

Jeśli nie, oprócz hostowania wszystkich aplikacji internetowych na własnym serwerze z certyfikatem * .mydomain.com, jakie jest najprostsze rozwiązanie, jakie mogę im podać w celu skonfigurowania certyfikatów SSL i nazw domen?

ssl-certificate 
fawltyserver
źródło
Każda osoba odwiedzająca * .mydomain.com zobaczy błąd certyfikatu w przeglądarce, ponieważ nie jesteś zarejestrowanym urzędem certyfikacji w żadnej przeglądarce.
gravyface
GeoTrust oferuje GeoRoot, dzięki czemu możesz stać się własnym głównym urzędem certyfikacji dla swojej domeny, ale musisz mieć wartość netto 5 milionów lub więcej i kilka innych wymagań.
gravyface
@Gravyface Czy oni teraz? To coś nowego.
sysadmin1138
1
Być może powinieneś założyć się jako sprzedawca i częściowo zautomatyzować proces rejestracji SSL / domeny za pośrednictwem swojego konta.
gravyface
GeoRoot nie jest pośrednim certyfikatem urzędu certyfikacji wręczanym klientowi, jest zewnętrzną usługą podpisywania, którą można zintegrować z Active Directory.
the-wabbit

Odpowiedzi:

4

StartCom ma program pośredniego urzędu certyfikacji . Według strony, do której prowadzi link, program przeznaczony jest dla tych, którzy wydają 1000 lub więcej certyfikatów, a średni koszt to około 2 USD za wydany certyfikat.

TimS
źródło
Dziękuję Ci. Wygląda na to, że zrobiłbym to, o co prosiłem, ale nie jestem jeszcze dużą firmą. Może w przyszłości. Myślę, że na razie porzucę złożoność techniczną moich klientów.
fawltyserver
StartCom nie wyda certyfikatu. Zamiast tego skonfiguruje urząd certyfikacji z interfejsem internetowym (i prawdopodobnie SOAP) do użycia. Ze strony internetowej StartCom: „Certyfikat pośredniego organu reprezentujący twoją organizację (hostowany w siedzibie StartCom)
the-wabbit 15'15
3
Uwaga: „StartCom CA jest zamknięty od 1 stycznia 2018 r.”
Schneider
21

Smutna prawda jest taka, że ​​cel, do którego dążysz, jest technicznie możliwy dzięki atrybutowi „Ograniczenia nazwy x.509 dozwolone podjednostki” zdefiniowane w RFC 2459, sekcja 4.2.1.11 , ale prawie nie znajdziesz żadnego urzędu certyfikacji, który byłby skłonny dostarczyć ci taki certyfikat.

Niektórzy tego nie zrobią z powodu myśli, że jednorazowa sprzedaż takiego certyfikatu nie jest tak dobra, jak wielokrotna sprzedaż wielu certyfikatów na host.

Niektóre nie będą wynikać z samozasilających się wymagań regulacyjnych braindead lub wymagań podmiotów zewnętrznych.

Jest bardzo smutna historia o łańcuchu certyfikatów dużego operatora telekomunikacyjnego, który podpisał pośrednie urzędy certyfikacji dla krajowej sieci badawczej, która z kolei wydała certyfikaty CA uniwersytetom. Choć nie brzmi to jeszcze bardzo smutno, smutek zaczyna się, gdy odważny człowiek z wyżej wspomnianego dostawcy usług telekomunikacyjnych próbował zdobyć certyfikat i łańcuch zaufania włączony do Mozilli Firefox - zajęło to 4 lata dyskusji, recenzji, nieporozumień i jeszcze więcej dyskusji w końcu zostało uwzględnione.

To, co można kupić, to głównie „Usługa zarządzana”, w której można użyć interfejsów urzędu certyfikacji do tworzenia nowych certyfikatów mniej więcej do woli. Oczywiście zazwyczaj kosztuje to dużo pieniędzy i prawdopodobnie zostaniesz dodatkowo obciążony za każdy wydany certyfikat.

the-wabbit
źródło
Podobnie jak przypis: procesy bezpieczeństwa stosowane przez komercyjne urzędy certyfikacji (a więc także ich klientów) zostały ostro skrytykowane przez uznanych ekspertów ds. Bezpieczeństwa informacji jako podatne na rozpad . Wszystko to nadal obowiązuje.
the-wabbit
„ale nie ma prawie żadnego urzędu certyfikacji, który byłby w stanie dostarczyć ci taki certyfikat” - czy znasz jakiś wyjątek? Też szukam takiego certyfikatu. Czy istnieje nazwa dla certyfikatów „Ograniczenie nazwy dozwolone Poddrzewa”? Chociaż sądząc z tego wątku , ta część RFC nigdy tak naprawdę nie wystartowała ...
johndodo
@ johndodo Znam tylko federalny urząd federalny Stanów Zjednoczonych jako „publiczny” organ, który w przeszłości stosował ograniczenia nazwisk dla podległych urzędów certyfikacji agencji rządowych USA. Nigdy nie widziałem, aby którykolwiek z urzędów certyfikacji wstępnie zainstalowany w przeglądarkach lub systemach operacyjnych sam wystawiał takie certyfikaty. Te odnotowane w twoim odnośniku - szwajcarski klub turystyczny i ICC są wydawane przez WISeKey (szwajcarski CA), ale niewiele wiem o ich linii produktów.
the-wabbit,
1
Nawiasem mówiąc: ciekawa lektura zawiera mapę CA EFF .
the-wabbit
8

Problem z tym, co zamierzasz, polega na tym, że główny urząd certyfikacji (Verisign, Thawte itp.) Nie ma możliwości ograniczenia podrzędnego urzędu certyfikacji (tego, czego szukasz), aby przypisywał tylko certyfikaty lub był ważny dla określonej domeny . Podrzędny urząd certyfikacji, który łączy się z prawidłowym katalogiem głównym, będzie mógł tworzyć certyfikaty dla całego Internetu. Dlatego nie możesz uzyskać certyfikatu podrzędnego urzędu certyfikacji od nikogo innego niż główny urząd certyfikacji, który sam tworzysz.

Nie możesz zrobić tego, czego szukasz, bez certyfikatu wildcart od jednego z dużych dostawców certyfikatów. Można je kupić, w przeciwieństwie do podrzędnych certyfikatów CA.

sysadmin1138
źródło
6
The problem with what you intend is that there is no way: o tak, jest ... Nikt nie chce tego chodzić, ale to kolejny problem.
the-wabbit
Nieuczciwe urzędy certyfikacji zostają odwołane.
J.Money
Jeśli to prawda, to smutny niedopatrzenie. Czy ktoś wie o ruchu polegającym na dodaniu rozszerzenia specyfikacji dla takiego certyfikatu?
ThorSummoner,
2
Wygląda na to, że ta odpowiedź jest błędna: tools.ietf.org/html/rfc5280#section-4.2.1.10
Daniel Scott
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.