Czy mogę być własnym zaufanym urzędem certyfikacji za pośrednictwem podpisanego certyfikatu pośredniego?

Czy mogę uzyskać certyfikat od głównego urzędu certyfikacji, którego mogę następnie użyć do podpisania własnych certyfikatów serwera WWW? W miarę możliwości użyłbym podpisanego certyfikatu jako pośrednika do podpisania innych certyfikatów.

Wiem, że musiałbym w pewien sposób skonfigurować swoje systemy za pomocą „mojego” certyfikatu pośredniego, aby dostarczyć klientom informacje o łańcuchu zaufania.

czy to możliwe? Czy główne urzędy certyfikacji są skłonne podpisać taki certyfikat? Czy jest drogie?

TŁO

Znam podstawy SSL związane z zabezpieczaniem ruchu sieciowego przez HTTP. Rozumiem także, jak działa łańcuch zaufania, ponieważ ruch internetowy jest zabezpieczony „domyślnie”, jeśli szyfrujesz za pomocą certyfikatu, który ma prawidłowy łańcuch aż do głównego urzędu certyfikacji, określony przez przeglądarkę Dostawca / OS.

Wiem także, że wiele głównych urzędów certyfikacji zaczęło podpisywać certyfikaty dla użytkowników końcowych (takich jak ja) z certyfikatami pośrednimi. Może to wymagać trochę więcej konfiguracji po mojej stronie, ale w przeciwnym razie te certyfikaty będą działać poprawnie. Myślę, że ma to związek z ochroną ich niezwykle cennego klucza prywatnego dla urzędu certyfikacji i katastrofą, jaką miałbym, gdyby kiedykolwiek zostałem narażony na szwank.

PRZYKŁADY

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Teraz zdecydowanie nie jesteśmy wielkością żadnej z tych organizacji, ale wydaje się, że robią coś takiego. Zdecydowanie sprawiłoby to, że zarządzanie tymi certyfikatami byłoby znacznie łatwiejsze, szczególnie biorąc pod uwagę jeden ze sposobów rozszerzenia zasięgu naszej platformy e-commerce.

Twoje pytanie brzmi: „Jak wystawiać certyfikaty podmiotom w mojej organizacji i poza nią, którym ufają arbitralni użytkownicy Internetu?”

Jeśli to twoje pytanie, odpowiedź brzmi „nie”. Jeśli nie, proszę wyjaśnić.

Polecam również przeczytanie „Windows Server 2008 PKI and Security Security Briana Komara” i rozważenie wszystkich różnych scenariuszy PKI dla twoich aplikacji. Nie musisz używać urzędu certyfikacji firmy Microsoft, aby uzyskać coś z książki.

Szybkie wyszukiwanie pokazuje, że takie rzeczy istnieją, ale „Skontaktuj się z nami w sprawie wyceny” sugeruje, że nie będzie tanie:

https://www.globalsign.com/en/certificate-authority-root-signing/

Nie zgłaszam żadnych roszczeń dotyczących firmy, ale ta strona może zawierać warunki, na podstawie których można znaleźć inne firmy, które robią to samo.

Jeśli możesz to zrobić, co powstrzyma Joe Malware przed wydaniem certyfikatu dla www.microsoft.com i udzieleniem ci własnej „specjalnej” marki aktualizacji poprzez przejęcie DNS?

FWIW, oto jak uzyskać certyfikat główny dołączony przez Microsoft do systemu operacyjnego:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Wymagania są dość wysokie.

Jest to w zasadzie nie do odróżnienia od zostania sprzedawcą tego głównego urzędu certyfikacji, co prawie na pewno kosztuje dużo wysiłku i pieniędzy. Wynika to z faktu, że, jak zauważa Tim, możesz utworzyć ważny certyfikat dla dowolnej domeny, co nie powinno być dozwolone, chyba że kontrolujesz tę domenę.

Alternatywą jest program dla sprzedawców RapidSSL, w którym wykonują ciężką pracę i wystawiają swoje główne urzędy certyfikacji.

Zadaj sobie te dwa pytania:

1. Czy ufasz swoim użytkownikom, że poprawnie zaimportują certyfikaty root do swojej przeglądarki internetowej?
2. Czy masz zasoby do współpracy z istniejącym głównym urzędem certyfikacji?

Jeśli odpowiedź brzmi „tak” na 1, CAcert rozwiązał problem za Ciebie. Jeśli odpowiedź na pytanie 2 brzmi „tak”, przejrzyj listę zaufanych certyfikatów głównych dostarczanych z OpenSSL, Firefox, IE i Safari i znajdź jeden do podpisania certyfikatu pośredniego.

Myślę, że lepiej byłoby uzyskać certyfikat wieloznaczny z urzędu certyfikacji, w ten sposób można użyć tego samego certyfikatu w dowolnej subdomenie domeny podstawowej, ale nie można wystawiać certyfikatów na nic innego.

Główny urząd certyfikacji może wystawić certyfikat, który umożliwia wydawanie innych certyfikatów, ale tylko w określonej domenie. Muszą ustawić podstawowe Ograniczenia / CA: prawda i Ograniczenia nazwy / dozwolone; DNS.0 = example.com

Następnie możesz uruchomić własny urząd certyfikacji i wydawać certyfikaty, takie jak test.example.com (ale nie test.foobar.com ), którym z kolei zaufa publiczna sieć internetowa. Nie znam żadnego głównego urzędu certyfikacji, który zapewnia tę usługę, ale jest to rzeczywiście możliwe. Jeśli ktoś natknie się na takiego dostawcę, daj mi znać.

Oprócz linku od Joe H, oto link, który faktycznie działa:

https://www.globalsign.com/en/certificate-authority-root-signing/

Podpisywanie korzeni CA nie jest tanie, ale takie rzeczy istnieją dla większych przedsiębiorstw.

Wiem, że to stary post, ale długo szukałem czegoś prawie identycznego z tym. Echa z kilku innych postów ... jest możliwe ... wszystko to może być dość drogie i trudne do ustalenia. Ten artykuł jest nieco pomocny w „kto to robi” i ogólnie w „co się z tym wiąże” ....

https://aboutssl.org/types-of-root-signing-certificates/

Co do niektórych dodatków, które wybrałem z niektórych rozproszonych źródeł ... niektóre wymagania dotyczą „znacznego kapitału” i „ubezpieczenia” ... z których znalazłem się na liście od 1 do 5 milionów dolarów w zależności od źródła. Nie trzeba więc dodawać, że nie jest to opcja dla małego biznesu.

Ponadto widziałem posty, w których stwierdzenie, że spełnienie wszystkich wymagań i przeskoczenie wszystkich obręczy kontroli zajmie zwykle prawie rok. Ponadto koszty dodatkowe związane z całym procesem mogą wynosić od 100 tys. USD do + 1 mln USD w zależności od generalnego wykonawcy + koszty prawne + robocizny, a także liczbę przeprowadzonych audytów. Zatem znowu nie jest to przedsięwzięcie dla małej firmy.