我编写了一个在 Windows 计算机上运行的小程序,该程序通过端口 443 向访问 Web 浏览器提供 SSL/TLS 网页。我希望非技术人员能够轻松安装和运行此程序。我让他们能够轻松地在程序中创建自签名证书或证书签名请求,但我认为他们将很难获得 CSR 签名并将其连接到指向其服务器的域名。我希望将此过程的技术难度降至最低。
我可以购买可以为我的域名的子域名签署证书的 SSL 证书吗?例如 customer1.mydomain.com、customer2.mydomain.com 等,然后我可以将我的 DNS 子域名指向他们的服务器并为他们签署证书并自动完成整个过程。或者这可能非常昂贵?
如果没有,除了使用 *.mydomain.com 证书在自己的服务器上托管他们的所有 Web 应用程序之外,我能为他们提供的设置 SSL 证书和域名的最简单的解决方案是什么?
答案1
StartCom 有一个中级证书颁发机构计划。根据链接网站,该计划适用于颁发 1,000 张或更多证书的人,每张证书的平均成本约为 2 美元。
答案2
可悲的事实是,您的目标在技术上可以通过 x.509 名称约束允许的子树属性实现,定义在RFC 2459 第 4.2.1.11 节,但您几乎找不到任何CA愿意为您提供这样的证书。
有些人不会这样做,因为他们认为向您出售一次这样的证书不如向您出售多次每个主机的证书好。
有些则不会,因为自身承担的愚蠢监管要求或外部方的要求。
有一个关于大型电信供应商证书链的非常非常悲伤的故事,该供应商为一个国家研究网络签署了中间 CA,而后者又向大学颁发了 CA 证书。虽然这听起来还不算太悲伤,但悲伤始于上述电信供应商的一位勇敢者尝试将证书和信任链纳入 Mozilla Firefox- 经过 4 年的讨论、审查、误解和更多的讨论才最终被收录。
您可以购买的主要是一些“托管服务”,您可以使用 CA 的界面随意创建新证书。当然,这通常会提前花费很多钱,而且您可能会为每张颁发的证书支付额外费用。
答案3
您的意图存在问题,即主 CA(Verisign、Thawte 等)无法限制从属 CA(您要寻找的 CA)仅为特定域分配证书或使其有效。链接到有效根的从属 CA 将能够为整个 Internet 创建证书。这就是为什么您无法从任何人(除了您自己创建的根 CA)获取从属 CA 证书的原因。
如果没有大型证书供应商提供的 Wildcart 证书,您将无法完成自己的工作。Wildcart 证书可以购买,不同于下属 CA 证书。