İmzalı bir ara sertifika ile kendi güvenilir CA'm olabilir miyim?

23

Kendi web sunucusu sertifikalarımı imzalamak için kullanabileceğim bir kök CA'dan sertifika alabilir miyim? Mümkünse diğer sertifikaları imzalamak için ara bir imzalı sertifika kullanırım.

Müşterilerime güven zinciri hakkında bilgi vermek için sistemlerimi belirli bir şekilde "benim" ara sertifikamla yapılandırmam gerekeceğini biliyorum.

Mümkün mü? Kök CA'lar böyle bir sertifika imzalamaya hazır mı? Pahalı mı?

ARKA FON

SSL üzerinden web trafiğini güvence altına almakla ilgili olarak SSL'nin temellerini biliyorum. Ayrıca, güven zincirinin nasıl çalıştığını, tarayıcı tarafından belirlenen bir kök CA'ya kadar geçerli bir zinciri olan bir sertifika ile şifrelemeniz durumunda, bu web trafiğinin "varsayılan olarak" nasıl güvence altına alındığının temel bir anlayışına sahibim. / OS satıcısı.

Ayrıca kök CA'ların çoğunun son kullanıcılar (benim gibi) için ara sertifikalarla sertifikalar imzalamaya başladığını biliyorum. Bu benim tarafımda biraz daha kurulum gerektirebilir, ancak aksi takdirde, bu sertifikalar iyi çalışacaktır. Sanırım bunun CA için çok değerli özel anahtarlarını ve felakette bulunacak olsam felaketini korumakla ilgisi var.

ÖRNEKLER

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Şimdi, kesinlikle bu kuruluşların hiçbirinin büyüklüğü değiliz, ancak böyle bir şey yapıyor gibi görünüyorlar. Bu sertifikaların yönetimini kesinlikle çok daha lezzetli hale getirecektir, özellikle de e-ticaret platformumuzun erişimini genişlettiğimizi düşünüyoruz.

ssl  certificate  x509 
Clint Miller
kaynak

Yanıtlar:

9

Sorunuz bana ve başkalarına "Kuruluşumun içindeki ve dışındaki kuruluşlara keyfi İnternet kullanıcıları tarafından güvenilen varlıklara nasıl sertifika veririm?"

Eğer sorunuz bu ise cevabınız "Yapmaz" dır. Eğer değilse, lütfen açıklığa kavuşturun.

Ayrıca, "Windows Server 2008 PKI ve Brian Komar tarafından Sertifika Güvenliği" bölümünü okumanızı ve uygulamalarınız için çeşitli PKI senaryolarını göz önünde bulundurmanızı tavsiye ederim. Kitaptan bir şey çıkarmak için Microsoft'un CA'sını kullanmanıza gerek yoktur.

duffbeer703
kaynak
Girdiyi takdir ediyorum, ancak alıntı yaptığım örneklerin ifadenizin "Siz yok" kısmını yanlış olarak bulduğunu düşünüyorum. Bu sertifikaların güven zincirine bakın; kök CA (tarayıcı / işletim sistemi ile dağıtılmış) ile web sunucusunun HTTPS trafiğini şifrelemek için kullandığı sertifika arasında kuruma özel bir sertifika olduğunu göreceksiniz.
Clint Miller
13
Bu sadece bir sertifika değil. Sun / Microsoft / Dell bir ara CA kullanıyor. Kamuya açık bir kuruluşun işletilmesi CA, periyodik dış denetim gerektiren pahalı ve karmaşık bir iştir. Komar kitabı birçok CA senaryosunu açıklar ve bunun neden bu kadar karmaşık olduğunu gösterir. Uygulama tasarımınız sizi bir CA olma yolunda ilerletiyorsa, tasarım hedefleriniz ve uygulama stratejiniz hakkında uzun ve zor düşünmeniz gerekir.
duffbeer703
3

Bunu yapabilirseniz, Joe Malware’in www.microsoft.com’a bir sertifika vermesini ve size bir "DNS" kaçırma ile kendi "özel" markasını sunmasını engelleyen ne olacak?

FWIW, kök sertifikanızı Microsoft'ta işletim sistemine Microsoft tarafından dahil etmenin yolu:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Gereksinimler oldukça dik.

Tim Howland
kaynak
2 şey sanırım. 1. Hiçbir kök CA'nın kuruluşumun bir parçası olmayan diğer varlıklar için sertifika imzalamama izin vermeyeceği açıktır. Bir kez yapmamı engellemeyebilirler, ancak benim için imzaladıkları sertifika iptal listelerine girinceye kadar sürmeyecek ve hepsi bitecek. 2. Daha da önemlisi, DNS kaçırmak için hangi "global" ölçek teknikleri var? Kaminsky'nin ünlü yaptığı önbellek zehirlenmesi sorunu DNS satıcıları tarafından düzeltildi, değil mi?
Clint Miller
Bahsettiğiniz tüm cerralar kuruluşunuza aitse, aynı üst düzey etki alanında mılar? Öyleyse, bir joker karakter SSL sertifikası (* .alan_adim.com.tr) daha iyi bir strateji olabilir.
Tim Howland
Maalesef güvenceye almak için daha fazla etki alanım var, bu nedenle joker karakter (ilk stratejisi olan), işimizi farklı bir alanın istendiği durumlara genişlettiğimiz için bizim için çalışmayacak. Şimdilik çözümüm SAN certs (alternatif adlar), ancak başka bir alanın her ekleme / silme için yeni bir sertifika oluşturmak biraz acı verici.
Clint Miller
2

Bu, temel olarak CA'nın kökten bir satıcı olmaktan ayırt edilemez, ki bu da neredeyse kesinlikle çok fazla çaba ve para gerektiriyor. Bunun nedeni, Tim'in belirttiği gibi, o etki alanını kontrol etmediğiniz sürece izin vermemesi gereken herhangi bir etki alanı için geçerli bir sertifika oluşturabilirsiniz.

Alternatif olarak, RapidSSL'nin tüm sıkı işleri yaptıkları ve kök CA'larından verdikleri bayi programıdır .

TRS-80
kaynak
2
Daha fazla katılmıyorum! Cerfleri başkalarına satmak istemiyorum. İşimiz içinde ve işimizle müşterilerimiz arasında iletişimi güvence altına almanın yönetimini kolaylaştırmak istiyorum. Tim meşru bir soru sordu, ama bence bu noktayı kaçırıyorsun.
Clint Miller,
3
CA'nın bakış açısından bakıyorum - onlar için, istediğin şey, kendi istediğin gibi tamamen riskli bir CA olmak, ki onlar için oldukça riskli - sadece istemediğini söylediğin için başkaları için para kazanmak, teknik yeterliliğe sahip olmayacağınız anlamına gelmez, bu yüzden yapmadığınızdan emin olmak için ciddi kontroller isteyeceklerdir.
TRS-80
2

Kendinize şu iki soruyu sorun:

  1. Kök sertifikalarını web tarayıcılarına düzgün bir şekilde alma konusunda kullanıcılarınıza güveniyor musunuz?
  2. Mevcut bir kök CA ile ortak çalışacak kaynağa sahip misiniz?

Cevap 1'e evetse, CAcert sizin için probleminizi çözdü. 2 cevabı evet ise, OpenSSL, Firefox, IE ve Safari ile birlikte gelen güvenilir kök sertifikaların listesine bakın ve ara sertifikanızı imzalamak için bir tane bulun.

rüzgâraltı
kaynak
2

CA'dan bir joker karakter sertifikası almaktan daha iyi olacağını düşünüyorum, aynı sertifikayı birincil alan adınızın herhangi bir alt alanında da kullanabilirsiniz, ancak başka hiçbir şey için sertifika veremezsiniz.

Richard Gadsden
kaynak
1

Bir kök CA'nın, yalnızca belirli bir etki alanı altında başka sertifikalar vermeyi mümkün kılan bir sertifika vermesi mümkündür. Onlar set gereken basicConstraints / CA: true ve nameConstraints / izin; DNS.0 = example.com

Ardından, kendi CA'nızı çalıştırmakta özgürsünüz ve test.example.com (ancak test.foobar.com değil ) gibi sertifikaları herkese açık web sitesi tarafından güvenilir. Bu hizmeti sağlayan herhangi bir kök CA bilmiyorum ama bu gerçekten mümkün. Herhangi biri böyle bir sağlayıcıya tökezlerse, lütfen bana bildirin.

Jonas Bjork
kaynak
0

Bunun eski bir yazı olduğunu biliyorum, ama neredeyse buna benzer bir şey için uzun ve zorlu görünüyordum. Birkaç başka mesajdan da yanılmak ... bu mümkün ... hepsi oldukça pahalı ve kurulması zor olabilir. Bu makale "kim yapar" ve genel "ne işin içinde" konusunda biraz faydalıdır ....

https://aboutssl.org/types-of-root-signing-certificates/

Bazı dağınık kaynaklardan edindiğim bazı ekstralara gelince ... gereksinimlerden bazıları 1 milyon ABD Doları ile 5 milyon ABD Doları arasında bir yerde listelendiğini belirttiğim "önemli eşitlik" ve "sigorta" kaynağa bağlı olarak. Söylemeye gerek yok, bu küçük bir işletme için bir seçenek değildir.

Ek olarak, tüm gereklilikleri yerine getirmenin ve tüm denetim döngülerinden atlamanın tipik olarak bir yıl alacağını belirten gönderiler gördüm. Ayrıca, tüm süreçle ilgili yardımcı maliyetler, genel yükleniciye + yasal + işçilik maliyetlerine ve kaç denetim aşamasından geçtiğinize bağlı olarak 100.000 ABD Doları ile 1 milyon ABD Doları arasında değişebilir. Yani, yine, küçük bir işletme için bir girişim değil.

Craig
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.