署名された中間証明書を介して自分の信頼できるCAになることはできますか?
ルートCAから証明書を取得して、自分のWebサーバー証明書に署名することはできますか?可能であれば、署名された証明書を他の証明書に署名するための中間体として使用します。
クライアントに信頼の連鎖に関する情報を提供するために、「自分の」中間証明書を使用して特定の方法でシステムを構成する必要があることを知っています。
これは可能ですか?ルートCAは、このような証明書に署名してもかまいませんか?高いですか?
[〜#〜]背景[〜#〜]
HTTPを介したWebトラフィックの保護に関するSSLの基本に精通しています。また、ブラウザーによって決定されるように、ルートCAまでの有効なチェーンを持つ証明書で暗号化すると、Webトラフィックが「デフォルトで」保護されるという点で、信頼チェーンの仕組みについても基本的に理解しています。/OSベンダー。
また、ルートCAの多くが中間証明書を使用してエンドユーザー(私のような)の証明書に署名し始めていることも知っています。私の側でもう少し設定が必要になる場合がありますが、それ以外の場合、これらの証明書は正常に機能します。これは、CAにとって非常に価値のある秘密鍵の保護と、私が侵害された場合の災害と関係があると思います。
[〜#〜]例[〜#〜]
- https://www.Microsoft.com
- https://www.Sun.com
- https://ecomm.Dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs
現在、私たちはこれらの組織の規模ではありませんが、このようなことをしているようです。特に、eコマースプラットフォームの範囲を拡大している1つの方法を考えると、これらの証明書の管理は非常に口当たりが良くなります。
あなたの質問は、私や他の人に「任意のインターネットユーザーから信頼されている組織内外のエンティティに証明書を発行するにはどうすればよいですか」と読みます。
それがあなたの質問であるならば、答えは「あなたはしません。」です。そうでない場合は、明確にしてください。
また、「Brian KomarによるWindows Server 2008 PKIおよび証明書のセキュリティ」を読んで、アプリケーションのさまざまなPKIシナリオをすべて検討することをお勧めします。本から何かを取得するためにMicrosoftのCAを使用する必要はありません。
簡単な検索では、そのようなものが存在することが示されていますが、「見積もりについてはお問い合わせください」と表示されているので、安くはありません。
https://www.globalsign.com/en/certificate-authority-root-signing/
私はその会社について何の主張もしませんが、そのページは同じことをしている他の会社を見つけるために使用する用語をあなたに与えるかもしれません。
これを行うことができるとしたら、ジョーマルウェアがwww.Microsoft.comの証明書を発行し、DNSハイジャックを介して独自の「特別な」ブランドのアップデートを提供するのを防ぐにはどうすればよいでしょうか。
FWIW、MicrosoftがOSに組み込んだルート証明書を取得する方法は次のとおりです。
http://technet.Microsoft.com/en-us/library/cc751157.aspx
要件はかなり急です。
私は、CAからワイルドカード証明書を取得するほうがいいと思います。これにより、プライマリドメインの任意のサブドメインで同じ証明書を使用できますが、それ以外の証明書は発行できません。
これは基本的に、そのルートCAのリセラーになることと区別がつきません。そのルートCAは、確かに多くの労力と費用がかかります。これは、Timが指摘しているように、任意のドメインに対して有効な証明書を作成できるためであり、そのドメインを制御しない限り許可されるべきではありません。
別の方法は RapidSSLのリセラープログラム で、すべてのハードワークを実行し、ルートCAから発行します。
次の2つの質問を自問してください。
- ユーザーが自分のWebブラウザーにルート証明書を適切にインポートすることを信頼していますか?
- 既存のルートCAと提携するためのリソースはありますか?
1の答えが「はい」の場合、 CAcert が問題を解決しました。 2の答えが「はい」の場合、OpenSSL、Firefox、IEおよびSafariに同梱されている信頼されたルート証明書のリストを調べて、中間証明書に署名する証明書を見つけてください。
ルートCAは、他の証明書の発行を可能にする証明書を発行できますが、特定のドメインでのみ可能です。 basicConstraints/CA:trueおよびnameConstraints/permitted; DNS.0 = example.comを設定する必要があります
次に、独自のCAを自由に実行し、test.example.com(ただしtestは不可)のような証明書を発行できます。 foobar.com)パブリックWebから信頼されます。このサービスを提供するルートCAは知りませんが、実際に可能です。そのようなプロバイダーに遭遇した場合は、私に知らせてください。
Joe Hからのリンクに加えて、実際に機能するリンクは次のとおりです。
https://www.globalsign.com/en/certificate-authority-root-signing/
CAルート署名は安くはありませんが、これらは大企業向けに存在します。
私はこれが古い投稿であることを知っていますが、これとほとんど同じものを探していました。他のいくつかの投稿からの反響...それは可能です...それはすべてかなり高価で確立するのが難しいことです。この記事は、「だれがそれをするのか」と一般的な「何が関わっているのか」に少し役立ちます....
https://aboutssl.org/types-of-root-signing-certificates/
私がいくつかの散在するソースからピックアップしたいくつかのエクストラについては、いくつかの要件は「実質的な公平性」と「保険」を持っています...私は$ 1Mから$ 5Mのどこかにリストされていることがわかりましたソースによって異なります。言うまでもなく、これは中小企業にとっての選択肢ではありません。
さらに、すべての要件を満たし、すべての監査フープを通過するには通常1年近くかかると述べている投稿を見てきました。さらに、プロセス全体に関連する付随費用は、ゼネコン+法務+人件費、および監査の回数に応じて、1万ドルから100万ドルの範囲になります。だから、再び、中小企業のためのベンチャーではありません。