Etki alanım için alt etki alanları için diğer sertifikaları imzalayabilecek bir sertifika satın alabilir miyim?

SSL / TLS web sayfalarını 443 numaralı bağlantı noktası üzerinden ziyaret eden web tarayıcılarına sunan bir Windows bilgisayarda çalışacak küçük bir program yazdım. Teknik olmayan kişilerin bu programı kurmaları ve çalıştırmaları için kolay olmasını istiyorum. Programda kendinden imzalı bir sertifika veya sertifika imzalama isteği oluşturmalarını kolaylaştırdım, ancak CSR'yi sunucularını işaret eden bir etki alanı adına imzalayıp bağlanma konusunda mücadele edeceklerini düşünüyorum. Bu sürecin teknik zorluğunu en aza indirmek istiyorum.

Etki alanı adımın alt alanları için sertifika imzalayabilen bir SSL sertifikası alabilir miyim? Customer1.mydomain.com, customer2.mydomain.com vb. Gibi bir şey daha sonra DNS alt etki alanlarını sunucularına yönlendirebilir ve sertifikalarını onlar için imzalayabilir ve tüm işlemi otomatikleştirebilirim. Ya da belki bu çok pahalı olurdu?

Olmazsa, tüm web uygulamalarını * .alanalan.com sertifikasıyla kendi sunucumda barındırmanın yanı sıra, SSL sertifikalarını ve etki alanı adlarını ayarlamak için onlara verebileceğim en basit çözüm nedir?

ssl-certificate

— fawltyserver
kaynak

* .Alan_adim.com.tr adresini ziyaret eden herkes, tarayıcılarında bir sertifika hatası görür, çünkü hiçbir tarayıcıda kayıtlı bir sertifika yetkilisi değilsiniz.

— Gravyface

GeoTrust, GeoRoot'u sunar, böylece etki alanınız için kendi kök sertifika yetkilisiniz olursunuz, ancak 5M veya daha fazla net değere sahip olmanız ve bir sürü başka gereksiniminiz olması gerekir.

— Gravyface

@Gravyface Şimdi mi yapıyorlar? Bu yeni.

— sysadmin1138

Kendinizi bir satıcı olarak belirlemekte ve SSL / domain kayıt işlemini hesabınız üzerinden yarı otomatikleştirmede daha iyi şanslar elde edebilirsiniz.

— Gravyface

GeoRoot basitçe müşteriye verilen bir ara CA sertifikası değildir, Active Directory ile entegre olabilen harici bir imzalama hizmetidir.

— the wabbit

Yanıtlar:

StartCom bir Orta Sertifika Yetkilisi programına sahiptir . Bağlantılı siteye göre, program 1000 veya daha fazla sertifika verenlere yöneliktir ve verilen sertifika başına ortalama maliyeti yaklaşık 2 ABD dolarıdır.

— TIMS
kaynak

Teşekkür ederim. Kulağa istediğimi yapar gibi geliyor, ama henüz büyük bir şirket değilim. Belki gelecekte. Sanırım şimdilik müşterilerime teknik karmaşıklığı bırakacağım.

— fawltyserver

StartCom sertifikayı vermeyecektir. Bunun yerine, kullanmanız için bir web (ve muhtemelen SOAP) arayüzlü bir CA kurar. StartCom'un web sitesinden: "Kuruluşunuzu temsil eden bir Ara Yetki Belgesi (

— StartCom

Not: "StartCom CA, 1 Ocak 2018’den beri kapalı"

— Schneider

İşin asıl üzücü amacı, R.50 2459 Bölüm 4.2.1.11'de tanımlandığı gibi x.509 Ad Kısıtlamasına izin verilenSubtrees özniteliği ile teknik olarak mümkün olmasıdır , ancak size böyle bir sertifika vermek isteyen herhangi bir CA'yı bulamazsınız.

Bazıları, böyle bir sertifikayı bir defa satmanın, size pek çok ana bilgisayar başına sertifika satmanın iyi olmadığını düşündüğü için bunu yapmaz.

Bazıları, kendi başına doğmuş beyin bağı düzenleyici şartlarına ya da dış tarafların şartlarına bağlı olmayacak.

Ulusal bir araştırma ağı için ara CA'lar imzalayan büyük bir telekom sağlayıcısının sertifika zinciri ile ilgili olarak çok üzücü bir hikaye var. Bu henüz kulağa çok üzülmese de, üzüntü, söz konusu telekomünikasyon sağlayıcısının sağladığı cesur bir adam olarak sertifikayı ve Mozilla Firefox’a dahil olan güven zincirini almaya başladı - 4 yıl süren tartışmalar, incelemeler, yanlış anlaşılmalar ve hatta daha fazla tartışma nihayet dahil edildi.

Satın alabileceğiniz şey, çoğunlukla CA'nın arayüzlerini kullanıp kullanmayacağınız yeni sertifikalar oluşturmak için kullanacağınız bazı “Yönetilen Servisler”. Tabii ki, bu genellikle önceden çok paraya mal olacak ve muhtemelen verilen her sertifika için ek bir ücret ödeyeceksiniz.

— -tavşansın
kaynak

Tıpkı bir dipnot gibi: Ticari CA'ların (ve dolayısıyla müşterilerinin de izlediği) takip ettiği güvenlik süreçleri , tanınmış bilgi güvenliği uzmanları tarafından parçalanmaya eğilimli olduğu için ağır eleştirildi . Hepsi hala geçerli.

— the wabbit

"ancak size böyle bir sertifika vermek isteyen herhangi bir CA'yı bulamazsınız" - herhangi bir istisna olduğunu biliyor musunuz? Ben de böyle bir sertifika arıyorum. "Ad Kısıtlamasına izin verilenSubtrees" sertifikaları için bir ad var mı? RFC'nin bu bölümü bu konuya bakılırsa asla gerçekten

— çıkmadı

@johndodo ABD Federal Köprü CA'yı yalnızca ABD devlet kurumlarının alt CA'ları için geçmişte ad kısıtlamaları kullanan bir "kamu" otoritesi olarak biliyorum . Tarayıcılara önceden yüklenmiş olan CA'lardan herhangi birini hiç görmedim ya da işletim sistemleri bu tür sertifikaları kendim veriyor. Referanslı postanızda belirtilenler - İsviçre Touring Club ve ICC, WISeKey (İsviçre CA) tarafından yayınlanmaktadır , ancak ürün grupları hakkında fazla bir şey bilmiyorum.

— Wabbit

Bir kenara bırakın: EFF'nin CA haritası ilginç bir okuma yapar.

— Wabbit

Neyi düşündüğünüzle ilgili sorun, bir birincil CA'nın (Verisign, Thawte, vb.) Bir alt CA'yı (aradığınızı) yalnızca belirli bir etki alanı için sertifika ataması veya geçerli olması için kısıtlamamasının mümkün olmamasıdır. . Geçerli bir köke zincirleyen bir alt CA, tüm Internet için sertifika oluşturabilir. Bu yüzden kendiniz yaptığınız kök CA'dan başka kimseden bir Subordinate CA sertifikası alamıyorsunuz.

Aradığınızı, büyük sertifika satıcılarından birinden bir wildcart sertifikası olmadan yapamazsınız. Bunlar, alt CA sertifikalarının aksine satın alınabilir.

— sysadmin1138
kaynak

The problem with what you intend is that there is no way: oh evet, var ... Kimse yürümek istemiyor, ama bu başka bir sorun.

— the wabbit

Rogue sertifika yetkilileri iptal edildi.

— J.Money

Eğer doğruysa bu üzücü bir gözetimdir. Böyle bir sertifikanın belirtimine bir eklenti eklemek için bir hareket bilen var mı?

— ThorSummoner

Bu cevabın yanlış olduğu anlaşılıyor

— Daniel Scott