我可以从根 CA 获得证书,然后我可以用它来签署我自己的 Web 服务器证书吗?如果可能,我会使用签名证书作为中间人来签署其他证书。
我知道我必须使用“我的”中间证书以某种方式配置我的系统,以便向我的客户提供有关信任链的信息。
这可能吗?根 CA 愿意签署这样的证书吗?这个很贵吗?
背景
我熟悉 SSL 的基础知识,因为它与通过 HTTP 保护网络流量有关。我也对信任链的工作方式有基本的了解,因为如果您使用具有有效链的证书进行加密,则“默认情况下”网络流量是安全的,该链一直回到根 CA,由浏览器确定/OS 供应商。
我也知道许多根 CA 已经开始使用中间证书为最终用户(如我)签署证书。这可能需要更多的设置,否则,这些证书将正常工作。我想这与保护他们对 CA 的所有有价值的私钥以及如果我受到威胁将会造成的灾难有关。
例子
现在,我们绝对没有这些组织的规模,但他们似乎正在做这样的事情。这肯定会使这些证书的管理变得更加可口,尤其是考虑到我们正在扩大电子商务平台范围的一种方式。
我的公司已经发展到我们有兴趣成为客户的中间 CA,并希望向客户颁发证书。在其他用途中,我们希望颁发普通网络冲浪者的浏览器信任的 SSL 证书。
我的问题与这个问题非常相似,但我对“你不”的回答持怀疑态度。考虑到时间和金钱,您必须能够做到——其他人可以做到。我们两者都有,并想知道如何进行。