哪家 CA 商店提供允许您签署自己的 SSL 证书的产品?(比如命名为子域)还有其他可行的替代方案吗?
附加信息:
我们正在为不同客户所在地的大量安装部署一款具有安全 Web 界面的产品。客户用户将通过任何普通 Web 浏览器访问其门户。由于无法在现场更换/更新这些证书,因此十年或更长时间的有效期是理想的选择。
可能的选项(和缺点):
- 使用自签名证书(用户将看到浏览器错误/警告) - 使用通配符或多 cn 证书。(不太安全,因为 PK 在非信任客户端之间共享) - 成为链式证书颁发机构并签署证书(昂贵) - 为每个安装购买单独/批量证书(昂贵且繁琐)
答案1
这取决于您具体要求什么。如果您希望能够创建和撤销受浏览器信任的证书(即来自已建立的 CA),那么您应该寻找一个为您提供托管 PKI 访问权限的提供商。我知道 Thawte 和 Verisign 都提供此功能。
如果您想创建链接到受信任的 CA 的证书供其他人使用,有些提供商可以这样做,但成本很高。
另一方面,如果您想为自己的内部使用创建证书,并想创建自己的 CA 并手动导入到浏览器中,那么您只需使用 OpenSSL 就可以实现。
答案2
你会感兴趣这次讨论我几个月前就遇到过 ServerFault 问题。简而言之,除非你有大量时间和金钱来寻求 Zypher 在 Alex 的回答中提到的解决方案,否则你不会想陷入这种境地。
当然,根据您的应用程序,您可能能够成为自己的 CA 并将该证书分发给您的用户(基本上在他们的系统中安装并“信任”它),然后您可以使用它来签署您的用户将信任的其他证书(因为信任链)。
阅读其他问题和答案以了解更多详细信息。
有关 UCC/SAN 证书的其他信息
IceMage 指出了答案我的问题关于类似情况的解决方法。这些 UCC 证书非常简洁,满足了我的需求,但它们确实需要一些额外的工作。该主题专门讨论了 CACert,但我最终从 GoDaddy 购买了我需要的东西。我希望这些信息能帮到你。
答案3
我认为,如果不经过漫长而昂贵的过程成为根证书颁发机构,您甚至无法为子域名签署自己的证书。证书之所以受信任,是因为它来自您的 Web 浏览器中列出的颁发机构。
这些是 Firefox 中包含的证书颁发机构 - http://www.mozilla.org/projects/security/certs/included/