我能否从根 CA 获取证书,然后使用该证书签署我自己的 Web 服务器证书?如果可能的话,我会使用已签名的证书作为中间证书来签署其他证书。
我知道我必须用“我的”中间证书以某种方式配置我的系统,以便向我的客户提供有关信任链的信息。
这可能吗?根 CA 愿意签署这样的证书吗?费用贵吗?
背景
我熟悉 SSL 的基础知识,因为它与通过 HTTP 保护网络流量有关。我还对信任链的工作方式有基本的了解,即如果您使用具有有效链的证书进行加密,则网络流量“默认”受到保护,该链一直追溯到根 CA(由浏览器/操作系统供应商确定)。
我还知道,许多根 CA 已经开始使用中间证书为最终用户(比如我)签署证书。这可能需要我进行更多设置,但除此之外,这些证书可以正常工作。我猜这与保护 CA 的所有宝贵私钥以及如果我被盗用将造成的灾难有关。
例子
- https://www.microsoft.com
- https://www.sun.com
- https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs
现在,我们的规模肯定不如这些组织,但他们似乎正在做类似的事情。这肯定会使这些证书的管理更加容易接受,尤其是考虑到我们正在扩大电子商务平台的覆盖范围。
答案1
对我和其他人来说,您的问题是“如何向组织内部和外部的实体颁发受任意互联网用户信任的证书?”
如果这是你的问题,那么答案是“你不知道”。如果不是,请澄清。
我还建议阅读 Brian Komar 的《Windows Server 2008 PKI 和证书安全》,并考虑应用程序的各种 PKI 方案。您无需使用 Microsoft 的 CA 即可从本书中获益。
答案2
快速搜索显示这样的东西确实存在,但是“联系我们获取报价”表明它并不便宜:
https://www.globalsign.com/en/certificate-authority-root-signing/
我对该公司不做任何声明,但该页面可能会为您提供一些条件,以便您找到做同样事情的其他公司。
答案3
如果您可以做到这一点,那么如何阻止恶意软件 Joe 为 www.microsoft.com 颁发证书并通过 DNS 劫持为您提供他自己的“特殊”品牌的更新?
值得一提的是,以下是如何让 Microsoft 将您的根证书纳入操作系统:
http://technet.microsoft.com/en-us/library/cc751157.aspx
要求相当高。
答案4
这基本上与成为该根 CA 的经销商没有区别,而成为根 CA 的经销商几乎肯定会花费大量精力和金钱。这是因为,正如 Tim 所说,你可以为任何域制作有效的证书,除非你控制该域,否则不应该允许这样做。
另一种方法是RapidSSL 的经销商计划他们做所有的艰苦工作并从他们的根 CA 发出证书。