Я могу быть своим собственным доверяемым CA с помощью промежуточного сертификата со знаком?
Существуют много, действительно.
Обманчивое Лицензирование - Слишком много решений судят к никелю и десяти центов меня до смерти. Пакет стоит X, но если Вы захотите рекламируемые опции 1, 2, и 3, то это составит на $500-1500 больше на опцию.Нет, спасибо.
Никто не использует его - Или по крайней мере, Google не может найти никого говорящего об этом. Это любой совершенно ново (в этом случае, Вы - подопытный кролик), или настолько плохо, что все знают лучше
Это - корень нескольких ветвлений - Если что-то было разветвлено много раз, существует, вероятно, серьезное основание для него, и одно из ветвлений, вероятно, решило проблему лучше, чем источник. Исследуйте их вместо этого.
Последовательно плохой дизайн интерфейса - я только имею в виду GUI. Сумасшедшие, неопознанные, или mislabeled флаги CLI или опции управляют мной безумный
Это не работает - или это притворяется, что ситуация, которая должна быть решена, не была должна (или не делать), существуют, и поэтому не обращается к нему
Ваш вопрос читает в меня и другим как, "Как я выпускаю сертификаты объектам внутри и снаружи моей организации, которым доверяют произвольные интернет-пользователи?"
Если это - Ваш вопрос, чем ответ, "Вы не делаете".. Если это не, разъяснитесь.
Я также рекомендую читать "Windows Server 2008 PKI и Защита сертификатом Brian Komar" и рассматриваю все различные сценарии PKI для Ваших приложений. Вы не должны использовать CA Microsoft для вытаскивания чего-то из книги.
-
1Я ценю вход, но я думаю примеры, которые я привел, устанавливают " Вы don' t" часть Вашего оператора как неправильный. Посмотрите на цепочку доверия для тех сертификатов и you' ll видят, что существует определенный для предприятия сертификат между корневым CA (распределены с браузером/ОС) и сертификат, который веб-сервер использует для шифрования Трафика HTTPS. – Clint Miller 27 August 2009 в 19:48
-
2It' s не только сертификат. Sun/Microsoft/Dell управляет промежуточным звеном, Приблизительно Управляющим предприятием, общедоступный CA является дорогой, сложной задачей, которая требует периодического внешнего аудита. Книга Komar объясняет много сценариев CA, и проиллюстрируйте, почему это настолько сложно. Если Ваше проектирование приложений ведет Вас в будущем к становлению CA, необходимо хорошо подумать о целях дизайна и стратегии реализации. – duffbeer703 27 August 2009 в 20:11
Быстрый поиск показывает, что такие вещи существуют, но с 'связываются с нами для кавычки', предполагает, что это не будет дешево:
https://www.globalsign.com/en/certificate-authority-root-signing/
Я не предъявляю претензий о компании, но та страница могла бы дать Вам условия для использования для нахождения других компаний, делающих то же.
Если Вы могли бы сделать это, что собирается препятствовать тому, чтобы Joe Malware выпустил сертификат для www.microsoft.com и дал Вам его собственный "специальный" вид обновлений через налет DNS?
FWIW, вот то, как включать Ваш корневой сертификат Microsoft в ОС:
http://technet.microsoft.com/en-us/library/cc751157.aspx
Требования довольно круты.
-
1Ну, 2 вещи, я предполагаю. 1. It' s очевидный, что никакой корневой CA не собирается позволить мне подписывать сертификаты для других объектов, которые не являются частью моей организации. Они не могут препятствовать тому, чтобы я делал его однажды, но его won' t быть длинными до сертификата они расписались за меня, находится в списках аннулирования, и затем это все будет закончено. 2. Еще более значительно, что " global" методы масштаба там для угона DNS? Отравляющая кэш проблема, что Kaminsky, сделанный известным, был исправлен поставщиками DNS, правильно? – Clint Miller 27 August 2009 в 18:45
-
2Если все сертификаты, о которых Вы говорите, принадлежат Вашей организации, они в том же домене верхнего уровня? Если так, подстановочный знак сертификат SSL (*.mydomain.com) мог бы быть лучшей стратегией. – Tim Howland 27 August 2009 в 21:47
-
3К сожалению, у меня есть больше доменов для обеспечения, таким образом, подстановочный знак (который был первоначальной стратегией) не будет работать на нас, поскольку мы расширили наш бизнес к случаям, где другой домен желаем. Моим решением в настоящее время являются сертификаты SAN (подвергните альтернативные имена), но it' s несколько болезненный для создания нового сертификата для каждого дополнения/удаления другого домена. – Clint Miller 30 August 2009 в 04:13
Это в основном неотличимо от становления торговым посредником для того корневого CA, который почти наверняка стоит партии усилия и денег, чтобы быть. Это вызвано тем, что, как Tim отмечает, можно сделать действительный сертификат для любого домена, который не должен быть позволен, если Вы не управляете тем доменом.
Альтернатива является программой торгового посредника RapidSSL, в которой они делают всю тяжелую работу и проблему от их корня Приблизительно.
-
1Я couldn' t не соглашаются больше! Я don' t хотят перепродать сертификаты другим. Я хочу сделать управление обеспечением связи в нашем бизнесе и между нашим бизнесом и клиентами легче. Tim задал законный вопрос, но я думаю you' ре, упускающее суть. – Clint Miller 27 August 2009 в 18:47
-
2I' m рассмотрение его от CA' s точка зрения - им, что you' ре, спрашивающее, должно стать абсолютным CA самостоятельно, который довольно опасен для них - просто, потому что Вы говорите Вас don' t хотят сделать сертификаты для других doesn' t означают что Вы won' t имеют техническую способность к, следовательно they' ll хотят, чтобы серьезные средства управления удостоверились Вы don' t. – TRS-80 28 August 2009 в 08:49
Спросите себя эти два вопроса:
- Вы доверяете своим пользователям для надлежащего импорта корневых сертификатов в их веб-браузер?
- У Вас есть ресурсы для партнерства с существующим корневым CA?
Если ответ - да к 1, CAcert решил Вашу проблему для Вас. Если ответ на 2 да, изучите список доверяемых корневых сертификатов, поставленных с OpenSSL, Firefox, IE и Safari, и найдите, что подписывает Ваш посреднический сертификат.
Я думаю, что Вы были бы более обеспеченным выполнением, получает Wildcard-сертификат от CA, тот способ, которым можно использовать тот же сертификат на любом субдомене первичного домена, но Вы не можете выпустить сертификаты ни для чего больше.
В дополнение к ссылке от Joe H, вот ссылка, которая действительно работает:
https://www.globalsign.com/en/certificate-authority-root-signing/
CA Root Signing не дешевая, но эти вещи существуют для более крупных предприятий.
.Корневой ЦС может выдать сертификат, который позволяет выдавать другие сертификаты, но только в определенном домене. Им необходимо установить basicConstraints / CA:true и nameConstraints / allowed; DNS.0 = example.com
Затем вы можете запустить собственный центр сертификации и выдавать сертификаты, такие как test.example.com (но не test.foobar.com ), которому, в свою очередь, будет доверять общедоступная сеть. Я не знаю ни одного корневого центра сертификации, который предоставляет эту услугу, но это действительно возможно. Если кто-нибудь наткнется на такого провайдера, дайте мне знать.
Ndiyazi ukuba esi sisithuba esidala, kodwa bendijonge ixesha elide kwaye kunzima kwinto ephantse yafana nale. Ukucacisa kwezinye izithuba zabanye ... kunokwenzeka ... konke makube kubiza kakhulu kwaye kunzima ukuseka. Eli nqaku liluncedo kulowo "uyenzayo" kwaye ngokubanzi "yintoni ebandakanyekayo" ....
https://aboutssl.org/types-of-root-signing-certificates/
As kwezinye izinto ezongezelelekileyo endikhe ndazithatha kweminye imithombo ethe saa ... ezinye zeemfuno zine "equity equity" kunye ne "inshurensi" ... endifumene ukuba zidwelisiwe naphi na ukusuka kwi- $ 1M ukuya kwi- $ 5M kuxhomekeke kumthombo. Ke, akufuneki ukuba uthethe, oku ayisiyiyo inketho kwishishini elincinci.
Ukongeza, ndibone izithuba ezichaza ukuba ziya kuthatha unyaka ukufezekisa zonke iimfuno kwaye zitsibe kuzo zonke iihupu zophicotho. Ngapha koko, iindleko ezincedisayo ezichaphazelekayo kuyo yonke le nkqubo zinokuqala ukusuka kwi- $ 100k ukuya kwi- $ 1M ngokuxhomekeke kwikontraka ngokubanzi + iindleko zomthetho + zabasebenzi kunye nokuba zingaphi iindlela zokuphicothwa ohamba kuzo. Ke, kwakhona, ayisiyiyo ishishini kwishishini elincinci.