我编写了一个小程序,可以在 Windows 计算机上运行,该程序通过端口 443 为访问 Web 浏览器提供 SSL/TLS 网页。我希望非技术人员可以轻松安装和运行此程序。我让他们很容易在程序中创建自签名证书或证书签名请求,但我认为他们很难让 CSR 签名并连接到指向他们服务器的域名。我想把这个过程的技术难度降到最低。
我可以购买可以为我的域名的子域签署证书的 SSL 证书吗?像 customer1.mydomain.com、customer2.mydomain.com 等,然后我可以将我的 DNS 子域指向他们的服务器并为他们签署证书并自动化整个过程。或者这可能会非常昂贵?
如果没有,除了使用 *.mydomain.com 证书在我自己的服务器上托管他们所有的 Web 应用程序之外,我可以为他们提供的用于设置 SSL 证书和域名的最简单的解决方案是什么?
the*_*bit 25
可悲的事实是,您的目标在技术上可以通过RFC 2459 第 4.2.1.11 节中定义的 x.509 名称约束allowedSubtrees属性实现,但您几乎找不到任何愿意为您提供此类证书的 CA。
有些人不会这样做,因为他们认为向您出售一次此类证书不如多次向您出售大量每主机证书好。
有些不会由于自发的脑残监管要求或外部各方的要求。
关于一家大型电信提供商的证书链,有一个非常悲伤的故事,该提供商为国家研究网络签署了中间 CA,而后者又向大学颁发了 CA 证书。虽然这听起来还不算很悲伤,但悲伤开始于上述电信提供商的一个勇敢的人试图获得证书和包含在 Mozilla Firefox 中的信任链- 这花了 4 年的讨论、审查、误解,甚至更多的讨论它终于被包括在内。
您可以购买的主要是一些“托管服务”,您可以在其中使用 CA 的接口或多或少地随意创建新证书。当然,这通常会预先花费很多钱,并且您可能会为每个颁发的证书额外收费。
您打算这样做的问题是,主 CA(Verisign、Thawte 等)无法限制从属 CA(您正在寻找的)只为特定域分配证书或对特定域有效. 链接到有效根的从属 CA 将能够为整个 Internet 创建证书。这就是为什么除了您自己制作的根 CA 之外,您无法从任何人那里获得从属 CA 证书。
如果没有来自大型证书供应商之一的通配符证书,您将无法执行您正在寻找的操作。与从属 CA 证书不同,可以购买这些证书。
小智 4
StartCom 有一个中级证书颁发机构计划。根据链接网站,该计划适用于颁发 1,000 个或更多证书的机构,每个颁发证书的平均成本约为 2 美元。
| 归档时间: |
|
| 查看次数: |
14770 次 |
| 最近记录: |