bil*_*lpg 3 ssl-certificate tls
我正在考虑构建一个根 CA 用于我正在组装的东西。
每个客户都会向我注册他们自己的服务器,我会以 (id).example.com 的持有人的身份签署他们的证书。每个客户都会安全地下载我的 CA 证书并将其设置为仅对 example.com 和子域受信任。
如何将我自己的 CA 证书设置为仅适用于 example.com?我的客户不会相信我会签署(比如)paypal.com,只是我为其创建的域及其子域。我也不想处于有人可以强迫我签署他们狡猾的证书的位置。
(我目前正在研究 openssl,但任何替代方案都很好。如果它只是一个命令行选项,那么目前我无法理解。)
PKI 没有限制证书颁发机构仅在某些区域签署证书的方法。一旦你信任了一个 CA,你就会无条件地信任它产生的一切。CA 没有条件信任,只有证书。这实际上意味着,如果您信任公司的 CA,您也将信任由公司 CA 为 mail.google.com 签署的证书。正是出于这个原因,扩展验证证书变得风靡一时。
要求客户信任 CA 是一项主要要求。如果只有几台服务器需要信任它是一回事,但要求他们的整个基础设施信任它是大多数公司都会拒绝的。
| 归档时间: |
|
| 查看次数: |
264 次 |
| 最近记录: |