Пользовательский центр сертификации SSL?

Есть ли собственный центр сертификации SSL, который я могу добавить в свой браузер?

Мы используем множество внутренних URL-адресов, таких как

http://www.somproject.somebranch/ для работы с отдельными ветвями

Было бы здорово, если бы я мог добавить какой-нибудь сервис в свой браузер/ОС, который позволил бы мне использовать один сертификат (или легко генерировать сертификаты) для ненастоящих доменов. Это существует, или это просто #firstworldproblem?

ssl certificate-authority

mcintyre321 13.04.2012 источник

Ответы (1)

arrow_upward
6
arrow_downward

Смысл пользовательского ЦС в том, что вы должны создать его самостоятельно (в частности, будучи владельцем закрытого ключа для сертификата ЦС). Импорт любого доступного сертификата ЦС в ваш браузер будет означать, что любой, у кого есть закрытый ключ, сможет выдавать сертификаты, распознаваемые вашим браузером (обычно для любого сайта, если нет специальной политики).

Есть несколько инструментов для управления ЦС:

OpenSSL CA.pl: это скрипт, поставляемый с OpenSSL. Это довольно просто, но легко настраивается (через openssl.cnf).
TinyCA — это внешний интерфейс для OpenSSL, который помогает вам управлять своими сертификатами с помощью графического интерфейса. Это немного более управляемо, чем CA.pl.
OSX поставляется с собственным интерфейсом в Keychain.app.
Существует ряд других инструментов, перечисленных в этом вопросе Security.SE.: EJBCA, OpenCA и XCA.

Большая часть тяжелой работы приходится на административную часть (не столько на сисадмина, сколько на бумажную работу) в целом. Если это только для вас, EJBCA или OpenCA могут оказаться излишними.

Bruno 13.04.2012

comment

Похоже, там не совсем тот сервис, который я ищу... Мне действительно нужен сайт третьей части, который является ЦС для ненастоящих доменов. Думаю, я мог бы создать его, используя эти инструменты. - mcintyre321; 26.04.2012

comment

Вы имеете в виду, что вам нужна существующая служба, в которой развернуты эти инструменты? - Bruno; 26.04.2012

comment

В идеале я хочу иметь возможность использовать ssl на настраиваемых внутренних доменах, таких как myapp.branchXXX - если бы я мог добавить настройка браузера, которая будет доверять internalcertificates4u.com, которая автоматически сообщает, что ненастоящие сайты безопасны и имеют единственный сертификат, который я мог бы установить на все мои ящики для разработчиков, это облегчило бы жизнь. - mcintyre321; 27.04.2012

comment

Мне до сих пор не ясно, хотите ли вы, чтобы служба делала это за вас, или вы хотите установить/использовать вышеуказанные инструменты самостоятельно. TinyCA и CA.pl определенно смогут выдавать сертификаты для вымышленных имен хостов, которые вы используете только внутри (думаю, и другие тоже). - Bruno; 27.04.2012

comment

Если службы нет, то, думаю, вы рассказали мне, как ее сделать! - mcintyre321; 27.04.2012

comment

Сомневаюсь, что есть такая услуга, и вообще не рекомендую ею пользоваться. Предположим, что любой может самостоятельно выпустить сертификат из этого ЦС без каких-либо оснований, и что некоторые разработчики импортируют его в свой браузер для тестирования, забывают удалить позже и используют тот же браузер для проверки своего банковского счета (или аналогичного). Центру сертификации можно было бы доверять, но любой мог выдать действительный сертификат для любого сайта, включая законные сайты, используемые одним из тестировщиков. Имея свой собственный, вы немного ограничиваете риск (по крайней мере, пользователи должны доверять своим коллегам закрытый ключ ЦС). - Bruno; 27.04.2012

comment

Я надеюсь, что он не будет проверять какие-либо реальные домены верхнего уровня. - mcintyre321; 27.04.2012

Пользовательский центр сертификации SSL?

Ответы (1)

Похожие вопросы