Как создать клиентские сертификаты SSL для штата, использующего CaCert CA?
Каждый публично доступный веб-сервер получает запросы как это целый день. Они просто вслепую делают попытку известного использования против Вашего сервера. То, что я часто делаю, настраивают веб-сервер для отображения пустой страницы, когда он получает запросы к, он - IP (т.е. http://10.0.0.1). Я только позволяю сайтам появляться, когда корректный виртуальный домен хоста требуют.
Посмотрите, какой сайт появляется при доступе к веб-серверу IP вместо доменным именем. Большинство сценариев использования, проверяющих трубы сетевика, не выполняет допустимые виртуальные запросы хоста (надлежащие виртуальные заголовки хоста).
Можно также изучить различные утилиты, которые автоматически заблокируют IP-адреса, которые делают попытку низких запросов.
Я не совсем уверен, но, поскольку никто больше не отвечает, вот мое мнение.
Единственная сущность, которая может подписывать сертификаты, - это ЦС. Существуют разные уровни центров сертификации, поэтому теоретически вы можете создать свой собственный центр сертификации, подчиненный CaCert (и, следовательно, иметь свой собственный сертификат CA, подписанный CaCert). Это сделало бы обычные сертификаты, которые вы подписываете, участвующими в цепочке доверия длиной 3 (а не двух).
Из того, что я узнал из этой страницы , каким-то образом возможно стать "членом CACert" "и получить то, что они называют" субкорень " сертификат - это позволит вам подписывать свои собственные сертификаты и делать их доверенными для всех, кто доверяет корневому сертификату CACert ( при условии , вы также тем или иным образом делаете доступным сертификат подчиненного CA - например, сервер, использующий сертификаты в формате PEM, может использовать файл сертификата, который представляет собой просто конкатенацию сертификата сервера и сертификата CA в формате PEM).
Мой личный опыт работы с такого рода настройками был следующим: некоторое время назад xmpp Федерация .net предоставила бесплатные сертификаты для любого сервера XMPP, администратор которого пожелал его получить. Эта федерация сама была подчиненной CA по отношению к StartCom. Поэтому после получения сертификата сервера мне нужно было сказать моему серверу, чтобы он представил как свой собственный сертификат, так и xmpp.
Очевидно, вы не получите ключ CACert, так как это испортит всю систему. Вместо этого вам нужно создать «запрос на подпись сертификата» (он же CSR) вместе с новым закрытым ключом и отправить этот CSR в CACert для его подписания (что в результате даст вам действительный подписанный сертификат).
Если вы используете openssl ca для управления сертификатами, вы можете использовать что-то вроде
openssl req -new -key client1.key -out client1.csr
и вставить содержимое client1.csr в форму запроса сертификата CACert.
Вам также следует взглянуть на Документация CACert по генерации CSR , которая более подробно освещает эту тему.