是否可以创建一个网络范围的证书颁发机构,而无需手动添加到每个连接的设备。
我们有内部服务器,托管只能通过网络访问的网站。
我已经创建了一个 CA 并向网站颁发了证书,以便可以通过 HTTPS 访问它们。
目前,我需要手动将 CA 公钥添加到网络上的每个设备,这非常繁琐。当设备连接到网络时,是否可以自动执行此过程?这(希望)需要在 Windows、OSX(MacOS)、Linux、Android 和 iOS 上运行。我知道这可能是一个很大的要求,但我并不是唯一一个觉得这有用的人。
在此先感谢您的帮助。
答案1
是的,这很简单:您应该从公认的 CA 购买所有证书。但是,您的 CA 尚未得到认可。
不,没有什么魔法。每个证书都必须有一个信任根,即操作系统供应商信任的 CA。这意味着:所有受信任 CA 的证书都随操作系统一起提供。您的证书由您的私有 CA 颁发,并且您的 CA 的证书必须作为“受信任的第三方”安装在每台设备上
要了解供应商对 CA 的要求,请查看Microsoft 受信任根证书
在您的 CA 被认可为 Microsoft 认证 CA 之前,您必须或多或少手动安装证书。
我建议将 CA 证书安装为“受信任的第三方”,这样由 CA 颁发的所有证书将自动受到信任。
答案2
是否可以创建一个网络范围的证书颁发机构,而无需手动添加到每个连接的设备。
从技术上讲,是的,这是可行的。实际上,很难让您的根 CA 在 Internet PKI 中受到信任,因为这非常昂贵,并且需要真正的理由(动机)。通常,有两种选择:
将您的根 CA 证书纳入常见的受信任根列表(包括 Microsoft、Mozilla、Google 等)。每个根计划可能有所不同,可能会收取或不收取纳入费用。尽管某些计划(如 Microsoft Root Program)不会向您收取纳入费用,但满足要求会很昂贵。例如,您需要制定证书政策、证书实践声明并通过年度外部审计。不用说,您将不得不在硬件上花费大量资金,例如 HSM(硬件安全模块)。
您正在购买全球信任根下的下属 CA 证书。一些全球信任的商业 CA 为拥有大量颁发证书的公司提供此选项。更多详情请参阅我的文章:https://www.sysadmins.lv/blog-en/certification-authority-root-signing.aspx