Создайте свой собственный промежуточный центр сертификации из общедоступного доверенного сертификата

У меня простой вопрос (возможно глупый) и я не нашел на него четкого ответа. Если я получу сертификат от доверенной подписывающей компании (например, VeriSign...) для одного из моих серверов (например, веб), у меня будут закрытые и открытые ключи. С помощью этого сертификата могу ли я настроить свой собственный промежуточный ЦС и подписать запрос на сертификат, чтобы каждый мог доверять ему (я знаю, что этого не должно быть ..)? Мой реальный вопрос: что помешает мне выдать сертификат и как компания может гарантировать, что никто этого не сделает??

Заранее благодарен!


ssl certificate signing pki certificate-authority
person user2216188    schedule 27.03.2013    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Сертификат, выданный для вашего веб-сайта, подходит для SSL/TLS и не подходит для выдачи других сертификатов (поле «Использование ключа» отличается). Следовательно, хотя вы технически можете сгенерировать другой сертификат, используя свой в качестве ЦС, такой сгенерированный сертификат не будет доверять правильно реализованным и настроенным валидаторам (тем, которые проверяют использование ключа).

person Eugene Mayevski 'Callback    schedule 27.03.2013
comment
Большое спасибо! Существует ли конкретная сертификация/стандарт, гарантирующий, что клиент/валидатор прочитает это расширение использования ключа? - person user2216188; 27.03.2013
comment
@ user2216188, RFC 5280 (или 3280), вероятно, является той спецификацией, которую вы ищете. Чтобы быть сертификатом CA, важно не только использование ключа, но и основные ограничения. - person Bruno; 27.03.2013

arrow_upward
0
arrow_downward

Вы платите Verisign или другой организации по сертификации не за публикацию сертификата, а за проверку сертификата, это означает, что у них есть веб-сервисы, которые отвечают, действителен ли ваш сертификат или нет, если он все еще активен и срок его действия не истек, а ваша контактная информация соответствует запросу. .

К сожалению, это то, с чем вам придется смириться и платить им, если вам действительно нужен ssl для вашего сайта.

Я использовал самодельный сертификат для своего сервера локальной сети, и когда я посещаю этот https-сайт, большое красное предупреждение уведомляет меня о том, что этот сайт является вредоносным и не имеет действительного сертификата. Меня это не беспокоит, но я уверен, что все мои клиенты были бы освобождены, если бы увидели такое смелое предупреждение в своем браузере.

что ты можешь сделать? это мир компаний

person Menelaos Vergis    schedule 27.03.2013