Могу ли я приобрести сертификат для своего домена, который может подписывать другие сертификаты для поддоменов?

23

Я написал небольшую программу для запуска на компьютере с Windows, которая обслуживает веб-страницы SSL / TLS через порт 443 для посещающих веб-браузеров. Я хочу, чтобы нетехнические люди могли легко установить и запустить эту программу. Я упростил для них создание самоподписанного сертификата или запроса на подпись сертификата в программе, но я думаю, что им будет сложно получить подписанный CSR и подключиться к доменному имени, которое указывает на их сервер. Я хочу свести техническую сложность этого процесса к минимуму.

Могу ли я приобрести сертификат SSL, который может подписывать сертификаты для поддоменов моего доменного имени? Что-то вроде customer1.mydomain.com, customer2.mydomain.com и т. Д., А затем я могу указать свои субдомены DNS на их серверах и подписать их сертификаты для них и автоматизировать весь процесс. Или, может быть, это будет очень дорого?

Если нет, то, кроме размещения всех их веб-приложений на моем собственном сервере с сертификатом * .mydomain.com, какое простое решение я могу им дать для настройки SSL-сертификатов и доменных имен?

fawltyserver
источник
Любой, кто посещает * .mydomain.com, увидит ошибку в своем браузере, потому что вы не являетесь зарегистрированным центром сертификации ни в одном браузере.
gravyface
GeoTrust предлагает GeoRoot, так что вы можете стать собственным корневым центром сертификации для своего домена, но вам нужно иметь чистую стоимость 5M или более и кучу других требований.
gravyface
@ Gravface ли они сейчас? Это новое
sysadmin1138
1
Возможно, вам повезет - вы сможете стать реселлером и полуавтоматизировать процесс регистрации SSL / домена через свою учетную запись.
gravyface
GeoRoot - это не промежуточный сертификат CA, просто выдаваемый клиенту, это внешняя служба подписи, которая может быть интегрирована с Active Directory.
the-wabbit

Ответы:

4

StartCom имеет программу промежуточного центра сертификации . Согласно ссылкам на сайт, программа предназначена для тех, кто выпускает 1000 или более сертификатов, а средняя стоимость составляет около 2 долларов США за каждый выданный сертификат.

TIMS
источник
Спасибо. Звучит так, будто это будет делать то, о чем я просил, но я пока не большая компания. Возможно в будущем. Я думаю, что я просто покажу техническую сложность для моих клиентов.
fawltyserver
StartCom не будет выдавать сертификат. Вместо этого он установит CA с веб-интерфейсом (и, возможно, SOAP) для вас. С веб-сайта StartCom: «Сертификат промежуточного органа, представляющий вашу организацию (размещен в помещении StartCom) »
the wabbit
3
Примечание: «StartCom CA закрыт с 1 января 2018 года»
Schneider
21

Печальная истина заключается в том, что то, к чему вы стремитесь, технически возможно с помощью атрибута x.509 Name Constraint разрешеноSubtrees, как определено в RFC 2459, раздел 4.2.1.11 , но вы вряд ли найдете какой-либо ЦС, готовый предоставить вам такой сертификат.

Некоторые не будут этого делать из-за мысли, что однажды продать вам такой сертификат не так хорошо, как много раз продавать вам сертификаты для каждого хоста.

Некоторые не будут из-за собственных понятий нормативно-правовой базы или требований внешних сторон.

Существует очень и очень печальная история о цепочке сертификатов крупного провайдера телекоммуникационных услуг, который подписал промежуточные центры сертификации для национальной исследовательской сети, которая, в свою очередь, выдала сертификаты центров сертификации университетам. Хотя это пока не звучит очень печально, но печаль начинается с того, что смелый человек из вышеупомянутого провайдера телекоммуникаций попытался получить сертификат и цепочку доверия, включенную в Mozilla Firefox - на это потребовалось 4 года обсуждений, обзоров, недоразумений и еще большего количества обсуждений, прежде чем это было наконец включено.

В основном вы можете приобрести «Управляемую услугу», в которой вы будете использовать интерфейсы ЦС для создания новых сертификатов более или менее по желанию. Конечно, это, как правило, будет стоить много денег заранее, и вам, вероятно, придется платить дополнительно за каждый выданный сертификат.

заместитель Wabbit
источник
Так же, как примечание: процессы безопасности, которым следуют коммерческие ЦС (и, следовательно, их клиенты), подвергаются резкой критике со стороны известных экспертов в области информационной безопасности за склонность к сбоям . Все это все еще применяется.
the-wabbit
«но вы вряд ли найдете центр сертификации, готовый предоставить вам такой сертификат» - знаете ли вы о каком-либо исключении? Я тоже ищу такой сертификат. Существует ли имя для сертификатов «Name Constraint разрешено Substrees»? Хотя, судя по этой теме , эта часть RFC так и не взлетела ...
johndodo
@johndodo Я знаю только о CA Federal Bridge США как о «публичном» органе, который в прошлом использовал ограничения имен для подчиненных CA правительственных агентств США. Я никогда не видел, чтобы ни один из ЦС, предустановленных с браузерами или операционными системами, сам выдавал такие сертификаты. Те из них, которые упоминаются в вашей публикации, - швейцарский туристический клуб и ICC - выпущены WISeKey (швейцарский CA), но я не знаю много об их продуктовой линейке.
the-wabbit
1
В качестве отступления: карта CA в EFF дает интересное прочтение.
The Wabbit
8

Проблема с тем, что вы намереваетесь, заключается в том, что первичный ЦС (Verisign, Thawte и т. Д.) Не может ограничить подчиненный ЦС (то, что вы ищете) назначать только сертификаты для определенного домена или быть действительным для конкретного домена. , Подчиненный ЦС, связанный с действительным корнем, сможет создавать сертификаты для всего Интернета. Вот почему вы не можете получить сертификат подчиненного ЦС ни от кого, кроме корневого ЦС, который вы делаете сами.

Вы не можете делать то, что ищете, без сертификата подстановочного знака от одного из крупных поставщиков сертификатов. Их можно купить, в отличие от сертификатов подчиненных ЦС.

sysadmin1138
источник
6
The problem with what you intend is that there is no way: о да, есть ... Никто не хочет ходить по нему, но это еще одна проблема.
the-wabbit
Мошеннические центры сертификации аннулированы.
J.Money
Если это правда, это грустный недосмотр. Кто-нибудь знает движение, чтобы добавить расширение спецификации для такого сертификата?
ThorSummoner
2
Похоже, что этот ответ неправильный: tools.ietf.org/html/rfc5280#section-4.2.1.10
Даниэль Скотт