我有一个任务,要为公司创建证书颁发机构。最好使用“有效”(非自签名)证书。目标是为子域颁发单独的证书,而不是通配符证书,以及通配符证书未涵盖的子子域、用户、服务等。
所有这些可能仅限于单个域。
据我了解,我需要具有此类某些功能的有效证书 Key Cert Sign, CRL Sign。
这是真的吗?有人可以告诉我文档和可以向我出售此类证书的 SSL 提供商吗?
谢谢。
更新: 感谢您的评论:那么我可能需要重新表述我的问题,为服务和用户颁发公开有效的证书需要什么?有些网站颁发用户证书,例如这个https://www.comodo.com/home/email-security/free-email-certificate.php。但我不想依赖公共和免费服务来供公司使用,而宁愿使用一些稳定可靠的服务。
答案1
首先,没有任何公共信任的证书颁发机构会授予您任何类型的签名证书。
现在我们已经解决了这个问题:
由于这是供内部使用的,因此您不需要任何来自外部来源的证书 - 只需启动您自己的 CA,并将其 CA 证书分发到所有客户端的受信任证书数据库。然后,您可以随意请求和签署证书,并且您的所有客户端都会信任它们。