Создание инфраструктуры цифрового сертификата компании [закрыто]
Какой тип продукта цифрового сертификата мне нужен, чтобы создать инфраструктуру цифровой безопасности в моей компании и для использования нашими клиентами (предварительно доверенные цепочкой)?
Я считаю Мне нужен какой-то корневой организационный сертификат, который подписан общедоступным центром сертификации и дает мне возможность создавать подписи других сертификатов в моей организации для SSL, для подписи кода, для клиентских сертификатов и всего, что мне может понадобиться. Я ожидаю, что цепочка будет работать для проверки клиентов на выданный организационный сертификат и до общедоступного центра сертификации.
Когда я обращаюсь в крупные центры сертификации, о которых я знаю, я не вижу в наличии продуктов, которые явно соответствовали бы моим ожиданиям.
Я несколько раз генерировал самозаверяющие сертификаты и покупал SSL-сертификаты с точным доменом. Но теперь мне нужен более крупный план.
Мне также известны мнения / факты о том, что система CA имеет изъяны, поэтому вам не нужно тратить много времени на это в своем ответе.
Ваши предположения неверны - ни один публичный центр сертификации не выдаст вам сертификат, который будет использоваться в качестве корневого сертификата.
Вы создаете свой собственный самозаверяющий центр сертификации и распространяете его среди клиентов, чтобы они могли их сделать. доверяю вам.
Затем вы используете это для подписи ваших сертификатов.
Все общедоступные центры сертификации являются самоподписанными - они включены в вашу ОС или браузер, потому что поставщик ОС решил, что они заслуживают доверия, и добавил их. Если они выдали вам сертификат подписи, вы могли бы использовать его для создания совершенно действительного сертификата для google.com или microsoft.com. Это было бы плохо. Если вы не являетесь агентством национальной безопасности или кем-то еще, они не собираются этого делать.
В Windows распространение сертификата выполняется практически автоматически через Active Directory на все компьютеры, подключенные к домену.
Если вам нужны сертификаты, которым можно доверять за пределами вашей сети, вам необходимо купить индивидуальные сертификаты или сертификаты с подстановочными знаками для каждого домена. Запуск собственного центра сертификации обычно используется только в вашей собственной сети. Он может работать извне, но вы должны убедиться, что люди добавили ваш корневой сертификат в свои доверенные сертификаты.
Если в вашей организации только один домен, вы можете получить сертификат с подстановочными знаками для этого домена.
http://en.m.wikipedia.org/wiki/Wildcard_certificate
Это позволит вам использовать один сертификат для всех поддоменов.
Если у вас несколько доменов, вам понадобится по одному для каждого. Если вы хотите иметь несколько доменов на одном сервере, совместно использующем ssl-порт по умолчанию, вам необходимо использовать указание имени сервера (SNI), чтобы обслуживать правильный сертификат.