“Подписание” CA с openssl
Это - в значительной степени лучший способ сделать его, "конфигурация по умолчанию" является большим количеством инструкций затем что-либо еще. Большинство моих серверов не имеет ничего остающегося от конфигурации по умолчанию и наших виртуальных хостов все выполнение отдельный SSL для каждого веб-сайта.
Пока механизм SSL работает, и у Вас есть своя конфигурация SSL в Ваших виртуальных хостах, это - совершенно приемлемый способ установить рабочий сервер.
Нет - ограничения, наложенные на сертификат с подстановочными знаками, не позволяют использовать его в качестве ЦС каким-либо образом, формой или формой для предоставления доверия другому сертификату (или органу) в ваш контроль. Проверьте поле x509 Basic Constraints; он, вероятно, содержит
CA: FALSE.Потому что это хороший бизнес. Экономика SSL-сертификатов сомнительна; единственная стоимость для провайдера - это накладные расходы на персонал и инфраструктуру, а также возможное время персонала для подтверждения личности стороны, запрашивающей сертификат.
Они воспользуются любой возможностью, чтобы увеличить свои и без того мнимые сборы вместе с предполагаемым увеличением по ценности для клиента - сертификат с подстановочными знаками дает прекрасную возможность повысить маржу, хотя эти сертификаты обычно проходят более тщательную проверку, чем базовый сертификат.
Можно ли подписать наш внутренний корень CA как дочерний элемент нашего сертификата с подстановочными знаками ...
Подстановочный сертификат может отображаться в сертификатах конечных объектов только в том случае, если все работает, как предполагалось или ожидалось. И они будут отображаться только в сертификатах конечных объектов «нижнего уровня», таких как проверенный домен; а не сертификаты расширенной проверки «более высокого уровня».
Если все работает так, как предполагалось или ожидалось, в сертификате конечного объекта не будет keyCertSign keyUsage (и cRLSign ] ), поэтому он не сможет действовать как корень CA и закрепить цепочку доверия. Вы не сможете ничего скрепить сертификатом конечного объекта.
Это различие между различными уровнями или классами сертификатов затрагивается ниже. но вам предлагается прочитать две главы из книги Питера Гуттмана Engineering Security . В частности, см. Главы 1 и 8 (IIRC).
Центры сертификации могут подписывать другие центры сертификации (здесь есть какие-то руки, без камней). Это называется встречной подписью и используется для соединения различных PKI. Например, Федеральное управление США использует мосты, чтобы позволить казначейству получать сертификаты от государственного департамента и т. Д.
Мосты - это несколько иной вариант использования, чем тот, который используется в типичной модели браузера. В модели браузера перекрестно подписанные сертификаты не используются; скорее, сотни корневых и промежуточных сертификатов предустановлены и доверены для того же эффекта (и даже больше!).
Наконец, правило «Сертификаты EV не могут иметь подстановочные знаки» исходит из форумов CA-Browser (CA / B) . У CA / B есть два руководства, которым следуют участвующие CA и браузеры, и это правило взято из расширенных рекомендаций.
- Базовые требования для выпуска и управления общедоступными сертификатами Версия 1.1.6
- EV SSL Certificate Guidelines Version 1.4.3
Взято из расширенного руководства, стр. 15:
9.2.2 Subject Alternative Name Extension
Certificate field: subjectAltName:dNSName
Required/Optional: Required
Contents: This extenstion MUST contain one or more host Domain Name(s)
owned or controlled by the Subject and to be associated with the Subject’s
server. Such server MAY be owned and operated by the Subject or another
entity (e.g., a hosting service). Wildcard certificates are not allowed
for EV Certificates.
, чтобы установка этого сертификата на гостевые устройства / браузеры и прочее ничего не сообщала о ненадежном корне
Нет. Пользователь должен будет установить его как якорь доверия. Например, как «Trusted Certifcate» в хранилище сертификатов. Простое предоставление его в качестве сертификата конечного объекта не должно иметь никакого эффекта.
Также, немного побочный момент, почему добавление подстановочного знака удваивает стоимость покупки сертификата?
Чтобы сохранить уровни прибыли.
Сертификаты с расширенной проверкой - это еще один прием, используемый для восстановления уровней прибыли на определенное время до того, как гонка разрушила доверие и прибыль. Из книги Питера Гуттмана Engineering Security, стр. 63-64 (Гутман называет это «PKI мне сложнее»):
Введение ... так называемых высоконадежных или расширенных сертификаты проверки (EV), которые позволяют центрам сертификации взимать за них дополнительную плату чем стандартные, это просто случай округления в два раза больше обычного количество подозреваемых - вероятно, кого-то впечатлит это, но эффект от фишинга минимален, поскольку он не исправляет проблема, которую используют фишеры. Действительно, циники сказали бы что это была именно та проблема, что сертификаты и ЦС были предполагалось решить в первую очередь, и эта "надежная" сертификаты - это всего лишь способ второй зарядки существующего служба. Еще несколько лет назад сертификаты стоили несколько сотен. долларов, но теперь, когда базовый уровень цен на сертификаты и качество перешло к точке, где вы можете получить их за 9,95 долларов США (или даже напрасно) крупным коммерческим центрам сертификации пришлось заново изобретать сами, определив новый стандарт и убедив рынок идти назад к ценам, уплаченным в старые добрые времена.
Этот подход дежавю-все-снова и снова можно увидеть, изучив Заявление о практике сертификации Verisign (CPS), документ, который регулирует выдачу сертификатов. Требования безопасности в EV-сертификат 2008 CPS есть (за исключением незначительных отличий в юридический язык, используемый для их выражения) практически идентичен требования к сертификатам класса 3, перечисленным в Verisign версии 1.0 CPS с 1996 года. Сертификаты EV просто откатывают время до подход, который уже потерпел неудачу при первой попытке его применения в 1996 году, сброс изменяющейся базовой линии и взимание цен 1996 г. побочный эффект. Были даже предложения о некой скользящее окно подхода к стоимости сертификата, в котором, как неизбежная гонка ко дну снижает эффективную стоимость установленных классов сертификатов, их все меньше и меньше эффективны программным обеспечением, которое их использует ...