Как можно сформулировать запрос сертификата SSL, чтобы предоставить возможность центра сертификации?

Я знаю, как создавать самоподписанные SSL-сертификаты, но как должен быть сформулирован запрос на сертификат, чтобы удостоверяющий центр предоставил сертификату возможность подписывать сертификаты?

Допустим, я начальник отдела сетевых операций в компании. У разных ИТ-отделов есть свои собственные сети, к которым они могут сертифицировать других для подключения, но я должен предоставить их сертификатам возможность подписывать сертификаты, а не создавать свои собственные самозаверяющие сертификаты?


ssl ssl-certificate self-signed
person vfclists    schedule 30.05.2012    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Большая часть работы, связанной с установкой атрибутов и другой информации в сертификате, является административной.

Вам не следует сильно беспокоиться о самом запросе сертификата. Любой достойный ЦС разорвет полученные запросы на сертификат, чтобы извлечь открытый ключ и связать его с любой информацией, которую он хочет сформировать сертификат. Он должен вставлять только фрагменты информации, которые (а) он смог проверить другими способами (например, проверкой домена или многочисленными бумажными формами, ...) и (б) он готов поручиться (и, возможно, нести ответственность за степени, в зависимости от условий).

Некоторые хорошо известные центры сертификации имеют схемы превращения в промежуточные центры сертификации. Они выдадут вам такой сертификат ЦС. (Надеюсь, подписаться на эти схемы сложно...)

Если вы развертываете собственный внутренний ЦС и хотите использовать промежуточные ЦС, сертификаты промежуточных ЦС, которые вы выдаете, должны иметь логическое значение cA расширения основных ограничений установлено в значение true (см. RFC 5280). (Это не столько проблема с запросами сертификатов, сколько с сертификатами, которые вы выдаете.)

person Bruno    schedule 30.05.2012