我可以从根 CA 获得证书,然后我可以用它来签署我自己的 Web 服务器证书吗?如果可能,我会使用签名证书作为中间人来签署其他证书。
我知道我必须使用“我的”中间证书以某种方式配置我的系统,以便向我的客户提供有关信任链的信息。
这可能吗?根 CA 愿意签署这样的证书吗?这个很贵吗?
背景
我熟悉 SSL 的基础知识,因为它与通过 HTTP 保护网络流量有关。我也对信任链的工作方式有基本的了解,因为如果您使用具有有效链的证书进行加密,则“默认情况下”网络流量是安全的,该链一直回到根 CA,由浏览器确定/OS 供应商。
我也知道许多根 CA 已经开始使用中间证书为最终用户(如我)签署证书。这可能需要更多的设置,否则,这些证书将正常工作。我想这与保护他们对 CA 的所有有价值的私钥以及如果我受到威胁将会造成的灾难有关。
例子
现在,我们绝对没有这些组织的规模,但他们似乎正在做这样的事情。这肯定会使这些证书的管理变得更加可口,尤其是考虑到我们正在扩大电子商务平台范围的一种方式。
我的任务是创建供公司使用的证书颁发机构。最好使用“有效”(非自签名)证书。目标是为子域颁发单独的证书,而不是通配符,以及通配符证书、用户、服务等未涵盖的子子域。
所有这些可能仅限于单个域。
据我了解,我需要像这样具有某些功能的有效证书 Key Cert Sign, CRL Sign。
这是真的吗,有人可以向我指出可以向我出售那种证书的文档和 SSL 提供商吗?
谢谢。
更新:感谢您的评论:那么我可能需要重新表述我的问题,为服务和用户颁发公开有效的证书需要什么?有一些网站颁发用户证书,例如https://www.comodo.com/home/email-security/free-email-certificate.php。但我不想依赖公共和免费服务供公司使用,而宁愿使用稳定可靠的服务。