ฉันสามารถซื้อใบรับรองสำหรับโดเมนของฉันที่สามารถเซ็นชื่อใบรับรองอื่นสำหรับโดเมนย่อยได้หรือไม่

ฉันได้เขียนโปรแกรมขนาดเล็กเพื่อทำงานบนคอมพิวเตอร์ Windows ที่ให้บริการหน้าเว็บ SSL / TLS ผ่านพอร์ต 443 ไปยังเว็บเบราว์เซอร์ ฉันต้องการให้คนที่ไม่ใช่ด้านเทคนิคติดตั้งและใช้งานโปรแกรมนี้ได้ง่าย ฉันทำให้มันง่ายสำหรับพวกเขาในการสร้างใบรับรองแบบลงนามด้วยตนเองหรือคำร้องขอการลงนามใบรับรองในโปรแกรม แต่ฉันคิดว่าพวกเขาจะต้องดิ้นรนในการเซ็นชื่อ CSR และเชื่อมต่อกับชื่อโดเมนที่ชี้ไปที่เซิร์ฟเวอร์ของพวกเขา ฉันต้องการลดปัญหาทางเทคนิคของกระบวนการนี้ให้เหลือน้อยที่สุด

ฉันสามารถซื้อใบรับรอง SSL ที่สามารถลงชื่อใบรับรองสำหรับโดเมนย่อยของชื่อโดเมนของฉันได้หรือไม่ บางอย่างเช่น customer1.mydomain.com, customer2.mydomain.com เป็นต้นและจากนั้นฉันสามารถชี้โดเมนย่อย DNS ของฉันไปที่เซิร์ฟเวอร์ของพวกเขาและลงนามใบรับรองสำหรับพวกเขาและทำให้กระบวนการทั้งหมดเป็นไปโดยอัตโนมัติ หรืออาจจะมีราคาแพงมาก?

หากไม่นอกเหนือจากการโฮสต์แอปพลิเคชันเว็บทั้งหมดบนเซิร์ฟเวอร์ของฉันเองด้วยใบรับรอง * .mydomain.com โซลูชั่นที่ง่ายที่สุดที่ฉันสามารถมอบให้สำหรับการตั้งค่าใบรับรอง SSL และชื่อโดเมนคืออะไร

ssl-certificate

— fawltyserver
แหล่งที่มา

ทุกคนที่เข้าชม * .mydomain.com จะเห็นข้อผิดพลาดใบรับรองในเบราว์เซอร์เนื่องจากคุณไม่ใช่ผู้ออกใบรับรองที่ลงทะเบียนในเบราว์เซอร์ใด ๆ

— gravyface

GeoTrust เสนอ GeoRoot เพื่อให้คุณสามารถเป็นผู้มีสิทธิ์ออกใบรับรองหลักสำหรับโดเมนของคุณ แต่คุณต้องมีมูลค่าสุทธิ 5M หรือมากกว่าและข้อกำหนดอื่น ๆ

— gravyface

@Gravyface พวกเขาทำตอนนี้? นั่นเป็นเรื่องใหม่

— sysadmin1138

คุณอาจโชคดีกว่าในการตั้งค่าตัวคุณเป็นผู้ค้าปลีกและการลงทะเบียน SSL / โดเมนแบบกึ่งอัตโนมัติผ่านบัญชีของคุณ

— gravyface

GeoRoot ไม่ใช่ใบรับรอง CA ระดับกลางที่ส่งมอบให้กับลูกค้าเพียงอย่างเดียว แต่เป็นบริการเซ็นชื่อภายนอกซึ่งสามารถรวมเข้ากับ Active Directory ได้

— the-wabbit

คำตอบ:

Startcom มีหลักสูตรประกาศนียบัตรระดับกลางมีอำนาจ ตามเว็บไซต์ที่เชื่อมโยงโปรแกรมนั้นมีไว้สำหรับผู้ที่ออกใบรับรอง 1,000 ใบขึ้นไปและค่าใช้จ่ายเฉลี่ยอยู่ที่ประมาณ $ 2 ต่อใบรับรองที่ออก

— Tims
แหล่งที่มา

ขอขอบคุณ. ฟังดูเหมือนว่าจะทำในสิ่งที่ฉันขอ แต่ฉันยังไม่ได้เป็น บริษัท ใหญ่ อาจจะในอนาคต ฉันคิดว่าฉันจะทิ้งความซับซ้อนทางเทคนิคให้กับลูกค้าของฉันในตอนนี้

— fawltyserver

StartCom จะไม่แจกใบรับรอง แต่จะตั้งค่า CA พร้อมกับเว็บอินเตอร์เฟส (และอาจเป็น SOAP) เพื่อให้คุณใช้แทน จากเว็บไซต์ของ StartCom: "ใบรับรองผู้มีอำนาจกลางซึ่งเป็นตัวแทนขององค์กรของคุณ(โฮสต์ที่สถานที่ของ StartCom) "

— the-wabbit

หมายเหตุ: "StartCom CA ปิดตั้งแต่วันที่ 1 มกราคม 2018"

— Schneider

ความจริงที่น่าเศร้าคือสิ่งที่คุณตั้งเป้าหมายนั้นมีความเป็นไปได้ทางเทคนิคกับแอตทริบิวต์ข้อ จำกัด ชื่อ x.509 ที่ได้รับอนุญาต Subtrees ตามที่กำหนดไว้ในRFC 2459 มาตรา 4.2.1.11แต่คุณแทบจะไม่พบ CA ใด ๆ ที่เต็มใจให้ใบรับรองดังกล่าว

บางคนจะไม่ทำเช่นนั้นเนื่องจากความคิดที่ว่าการขายใบรับรองดังกล่าวให้คุณครั้งหนึ่งนั้นไม่ดีเท่าการขายคุณต่อใบรับรองโฮสต์หลายเท่า

บางอย่างจะไม่เกิดขึ้นเนื่องจากข้อกำหนดในการดูแลสมองที่เกิดขึ้นเองหรือข้อกำหนดของบุคคลภายนอก

มีเรื่องราวที่น่าเศร้ามากเกี่ยวกับห่วงโซ่ใบรับรองของผู้ให้บริการโทรคมนาคมรายใหญ่ซึ่งได้ลงนามใน CA กลางสำหรับเครือข่ายการวิจัยระดับชาติซึ่งได้ออกใบรับรอง CA ให้กับมหาวิทยาลัย แม้ว่าสิ่งนี้จะไม่ฟังดูเศร้ามาก แต่ความโศกเศร้าก็เริ่มขึ้นเมื่อชายผู้กล้าหาญจากผู้ให้บริการด้านโทรคมนาคมดังกล่าวพยายามที่จะได้รับใบรับรองและเครือข่ายความน่าเชื่อถือที่รวมอยู่ใน Mozilla Firefox - ใช้เวลา 4 ปีในการอภิปรายวิจารณ์และเข้าใจผิด ในที่สุดมันก็รวม

สิ่งที่คุณสามารถซื้อได้ส่วนใหญ่คือ "บริการที่มีการจัดการ" ซึ่งคุณจะใช้อินเทอร์เฟซของ CA เพื่อสร้างใบรับรองใหม่ไม่ว่าจะมากหรือน้อย แน่นอนว่าโดยทั่วไปจะมีค่าใช้จ่ายจำนวนมากล่วงหน้าและคุณอาจถูกเรียกเก็บเงินเพิ่มเติมสำหรับใบรับรองที่ออกให้ทุกครั้ง

— ที่ Wabbit
แหล่งที่มา

เช่นเดียวกับเชิงอรรถ: กระบวนการรักษาความปลอดภัยตาม CAs เชิงพาณิชย์ (และลูกค้าของพวกเขาเช่นกัน) ได้รับการวิพากษ์วิจารณ์อย่างหนักจากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลที่มีชื่อเสียงในฐานะที่เป็นแนวโน้มที่จะแตกแยก ทั้งหมดยังคงใช้

— the-wabbit

"แต่คุณแทบจะไม่พบว่ามี CA ใดที่ยินดีมอบใบรับรองดังกล่าวให้คุณ" - คุณรู้ข้อยกเว้นหรือไม่? ฉันกำลังมองหาใบรับรองดังกล่าวเช่นกัน มีชื่อสำหรับใบรับรอง "ข้อ จำกัด ของชื่ออนุญาตให้เผยแพร่" หรือไม่ แม้ว่าการตัดสินจากหัวข้อนี้ส่วนหนึ่งของ RFC นี้ไม่เคยเอาออกจริงๆ ...

— johndodo

@ johndodo ฉันรู้เพียงว่า US Federal Bridge CA ในฐานะที่เป็น "สาธารณะ" ที่ใช้ข้อ จำกัด ของชื่อในอดีตสำหรับผู้ใต้บังคับบัญชาของ CA ของหน่วยงานรัฐบาลสหรัฐ ฉันไม่เคยเห็น CA ใด ๆ ที่ติดตั้งไว้ล่วงหน้ากับเบราว์เซอร์หรือระบบปฏิบัติการออกใบรับรองดังกล่าวด้วยตนเอง สิ่งที่บันทึกไว้ในโพสต์ที่อ้างอิงของคุณ - สโมสรทัวร์สวิสและ ICC นั้นออกโดยWISeKey (Swiss CA) แต่ฉันไม่รู้เกี่ยวกับสายผลิตภัณฑ์ของพวกเขามากนัก

— the-wabbit

นอกเหนือจาก: แผนที่ CA ของ EFFทำให้การอ่านน่าสนใจ

— the-wabbit

ปัญหาเกี่ยวกับสิ่งที่คุณตั้งใจว่าจะไม่มีวิธีสำหรับ CA หลัก (Verisign, Thawte, ฯลฯ ) เพื่อ จำกัด CA รอง (สิ่งที่คุณกำลังมองหา) เพื่อกำหนดใบรับรองเท่านั้นหรือใช้ได้กับโดเมนเฉพาะ . CA ย่อยที่เชื่อมโยงกับรูทที่ถูกต้องจะสามารถสร้างใบรับรองสำหรับอินเทอร์เน็ตทั้งหมดได้ นี่คือเหตุผลที่คุณไม่สามารถรับใบรับรอง CA รองจากใครได้นอกจากรูท CA ที่คุณทำด้วยตัวเอง

คุณไม่สามารถทำสิ่งที่คุณต้องการโดยไม่มีใบรับรอง wildcart จากผู้ให้บริการใบรับรองรายใหญ่รายหนึ่ง สิ่งเหล่านี้สามารถซื้อได้ซึ่งแตกต่างจากใบรับรอง CA รอง

— sysadmin1138
แหล่งที่มา

The problem with what you intend is that there is no way: โอ้ใช่มีอยู่ ... ไม่มีใครอยากเดิน แต่นั่นเป็นปัญหาอีกอย่าง

— the-wabbit

เจ้าหน้าที่ออกใบรับรอง Rogue ถูกเพิกถอน

— J.Money

หากเป็นเรื่องจริงนั่นคือการกำกับดูแลที่น่าเศร้า ไม่มีใครรู้ว่าการเคลื่อนไหวเพื่อเพิ่มส่วนขยายไปยังข้อมูลจำเพาะสำหรับใบรับรองดังกล่าวหรือไม่?

— ThorSummoner

ดูเหมือนว่าคำตอบนี้ผิด: tools.ietf.org/html/rfc5280#section-4.2.1.10

— Daniel Scott