Frage Kann ich ein Zertifikat für meine Domain erwerben, das andere Zertifikate für Subdomains signieren kann?


Ich habe ein kleines Programm geschrieben, das auf einem Windows-Computer ausgeführt werden soll, der SSL / TLS-Webseiten über Port 443 zu Webbrowsern führt. Ich möchte, dass es für Nicht-Techniker einfach ist, dieses Programm zu installieren und auszuführen. Ich habe es ihnen leicht gemacht, ein selbstsigniertes Zertifikat oder eine Zertifikatsignierungsanforderung im Programm zu erstellen, aber ich denke, sie werden Schwierigkeiten haben, den CSR signiert und mit einem Domainnamen verbunden zu werden, der auf ihren Server zeigt. Ich möchte die technische Schwierigkeit dieses Prozesses auf ein Minimum reduzieren.

Kann ich ein SSL-Zertifikat erwerben, das Zertifikate für Subdomains meines Domain-Namens signieren kann? Etwas wie customer1.mydomain.com, customer2.mydomain.com usw. und dann könnte ich meine DNS-Subdomains auf ihren Servern zeigen und ihre Zertifikate für sie signieren und den gesamten Prozess automatisieren. Oder wäre das vielleicht sehr teuer?

Wenn nicht, abgesehen von dem Hosting aller Webanwendungen auf meinem eigenen Server mit einem * .mydomain.com-Zertifikat, was ist die einfachste Lösung, die ich ihnen für die Einrichtung der SSL-Zertifikate und Domänennamen geben kann?


22
2018-05-28 15:36


Ursprung


Jeder, der * .mydomain.com besucht, würde einen Cert-Fehler in seinem Browser sehen, weil Sie in keinem Browser eine registrierte Zertifizierungsstelle sind. - gravyface
GeoTrust bietet GeoRoot an, so dass Sie Ihre eigene Root-Zertifizierungsstelle für Ihre Domain werden können, aber Sie müssen einen Nettowert von 5 Millionen oder mehr und eine Menge anderer Anforderungen haben. - gravyface
@ Grayface Tun sie jetzt? Das ist neu. - sysadmin1138♦
Möglicherweise haben Sie mehr Glück, sich als Wiederverkäufer zu etablieren und die SSL / Domain-Registrierung über Ihr Konto zu automatisieren. - gravyface
GeoRoot ist kein Zwischenzertifizierungszertifikat, das einfach an den Kunden ausgehändigt wird. Es handelt sich um einen externen Signaturdienst, der in Active Directory integriert werden kann. - the-wabbit


Antworten:


StartCom hat ein Zwischenzertifizierungsstelle Programm. Laut der verlinkten Website ist das Programm für diejenigen bestimmt, die 1.000 oder mehr Zertifikate ausstellen, und die durchschnittlichen Kosten betragen etwa 2 USD pro ausgestelltem Zertifikat.


3
2018-05-29 08:06



Vielen Dank. Das klingt, als würde es tun, wonach ich gefragt habe, aber ich bin noch keine große Firma. Vielleicht in der Zukunft. Ich denke, ich werde die technische Komplexität für meine Kunden vorerst auflösen. - fawltyserver
StartCom wird das Zertifikat nicht aushändigen. Stattdessen wird eine CA mit einer Web- (und wahrscheinlich SOAP-) Schnittstelle eingerichtet, die Sie verwenden können. Von der Website von StartCom: "Ein Intermediate Authority-Zertifikat, das Ihre Organisation repräsentiert (Hosted bei StartCom)" - the-wabbit
Hinweis: "StartCom CA ist seit dem 1. Januar 2018 geschlossen" - Schneider


Die traurige Wahrheit ist, dass das, was Sie anstreben, technisch mit dem Attribut x.509 Name Constraint zulässig ist RFC 2459 Abschnitt 4.2.1.11, aber Sie werden kaum eine CA finden, die bereit ist, Ihnen ein solches Zertifikat zur Verfügung zu stellen.

Einige werden dies nicht tun, weil der Gedanke, dass Sie ein solches Zertifikat einmal verkaufen, nicht so gut ist, wie Ihnen viele pro-Host-Zertifikate viele Male zu verkaufen.

Einige werden nicht aufgrund selbst auferlegter braindead-regulatorischer Anforderungen oder Anforderungen von externen Parteien sein.

Es gibt eine sehr traurige Geschichte über die Zertifikatskette eines großen Telekommunikationsanbieters, der zwischengeschaltete CAs für ein nationales Forschungsnetzwerk unterzeichnet hat, das wiederum CA-Zertifikate an Universitäten ausgestellt hat. Auch wenn das noch nicht sehr traurig klingt, beginnt die Traurigkeit als mutiger Mann vom oben genannten Telekommunikationsanbieter versucht, das Zertifikat und die Vertrauenskette in Mozilla Firefox zu erhalten - Es dauerte 4 Jahre Diskussionen, Kritiken, Missverständnisse und noch mehr Diskussionen, bevor es schließlich aufgenommen wurde.

Was Sie kaufen können, ist meistens ein "Managed Service", bei dem Sie die CA-Schnittstellen verwenden, um mehr oder weniger nach Belieben neue Zertifikate zu erstellen. Natürlich kostet dies normalerweise viel Geld im Voraus und Sie werden wahrscheinlich für jedes ausgestellte Zertifikat zusätzlich belastet.


18
2018-05-28 19:41



Nur als Fußnote: Die Sicherheitsprozesse, die kommerzielle CAs (und damit auch ihre Kunden) verfolgt haben Kritisiert von renommierten Informationssicherheitsexperten als anfällig für Trennungen. All das gilt immer noch. - the-wabbit
"aber Sie werden kaum eine CA finden, die bereit ist, Ihnen ein solches Zertifikat zu geben" - wissen Sie von irgendwelchen Ausnahmen? Ich suche auch nach einem solchen Zertifikat. Gibt es einen Namen für "Name Constraint zugelassenenSubtrees" -Zertifikate? Obwohl, urteilend Dieser Thread, dieser Teil von RFC hat nie wirklich abgehoben ... - johndodo
@johndodo Ich kenne nur die US Federal Bridge CA als eine "öffentliche" Autorität, die Namensbeschränkungen verwendet in der Vergangenheit für die untergeordneten CAs der US-Regierungsbehörden. Ich habe noch nie gesehen, dass eine der CAs, die mit Browsern oder Betriebssystemen vorinstalliert sind, solche Zertifikate selbst ausstellt. Die in Ihrem Beitrag erwähnten - der swiss touring club und der ICC werden beide von WISeKey (eine Schweizer CA), aber ich weiß nicht viel über ihre Produktlinie. - the-wabbit
Nebenbei bemerkt: die EFF-Karte von CAs macht eine interessante Lektüre. - the-wabbit


Das Problem mit Ihrer Absicht besteht darin, dass eine primäre Zertifizierungsstelle (Verisign, Thawte usw.) keine Möglichkeit hat, eine untergeordnete Zertifizierungsstelle einzuschränken (wonach Sie suchen), nur Zertifikate für eine bestimmte Domäne zuzuweisen oder für diese gültig zu sein . Eine untergeordnete Zertifizierungsstelle, die mit einem gültigen Stamm verknüpft ist, kann Zertifikate für das gesamte Internet erstellen. Aus diesem Grund können Sie kein Zertifikat einer untergeordneten Zertifizierungsstelle von einem anderen Benutzer als einer Stammzertifizierungsstelle erhalten, die Sie selbst erstellen.

Ohne ein Wildcart-Zertifikat von einem der großen Zertifikatanbieter können Sie nicht das tun, wonach Sie suchen. Diese können im Gegensatz zu untergeordneten CA-Zertifikaten gekauft werden.


6
2018-05-28 16:00



The problem with what you intend is that there is no way : Oh ja, da ist ... Niemand will es gehen, aber das ist ein anderes Problem. - the-wabbit
100 100 sch 100 sch 100 sch 100 sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch 100 100 sch 100 100 sch 100 sch 100 sch sch sch 100 sch 100 sch sch sch 100 sch sch dieser - J.Money
Wenn das stimmt, ist das ein trauriges Versehen. Kennt jemand eine Bewegung, um der Spezifikation für solch ein cert eine Erweiterung hinzuzufügen? - ThorSummoner
Sch sch 100 sch sch 100 sch 100 sch sch sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch 100 sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch dieser tools.ietf.org/html/rfc5280#section-4.2.1.10 - Daniel Scott