我可以通过签名的中间证书成为我自己的受信任 CA 吗？

您的问题对我和其他人来说是“如何向我的组织内部和外部任意互联网用户信任的实体颁发证书？”

如果那是您的问题，那么答案是“您没有。”。如果不是，请澄清。

我还建议阅读“Brian Komar 撰写的 Windows Server 2008 PKI 和证书安全性”，并为您的应用程序考虑所有各种 PKI 场景。您无需使用 Microsoft 的 CA 就可以从书中获得一些东西。

快速搜索表明存在这样的事情，但“联系我们获取报价”表明它并不便宜：

https://www.globalsign.com/en/certificate-authority-root-signing/

我没有对该公司发表任何声明，但该页面可能会为您提供用于查找其他公司做同样事情的条款。

如果你能做到这一点，什么会阻止 Joe Malware 为 www.microsoft.com 颁发证书并通过 DNS 劫持为你提供他自己的“特殊”品牌更新？

FWIW，这是获取 Microsoft 在操作系统中包含的根证书的方法：

http://technet.microsoft.com/en-us/library/cc751157.aspx

要求相当苛刻。

这基本上与成为该根 CA 的经销商没有区别，后者几乎可以肯定要花费大量的精力和金钱。这是因为，正如 Tim 所说，您可以为任何域制作有效证书，除非您控制该域，否则不应允许这样做。

另一种选择是RapidSSL 的经销商计划，他们在其中完成所有艰苦的工作并从其根 CA 发布。

问自己这两个问题：

1. 您是否相信您的用户能够将根证书正确导入他们的 Web 浏览器？
2. 您是否拥有与现有根 CA 合作的资源？

如果 1 的答案是肯定的，那么CAcert已经为您解决了问题。如果对 2 的回答是肯定的，请查看随 OpenSSL、Firefox、IE 和 Safari 一起提供的受信任根证书列表，并找到一个来签署您的中间证书。

我认为您最好从 CA 获取通配符证书，这样您就可以在主域的任何子域上使用相同的证书，但不能为其他任何东西颁发证书。

根 CA 可以颁发证书，从而可以颁发其他证书，但仅限于特定域。他们需要设置basicConstraints/CA:true和nameConstraints/permitted;DNS.0=example.com

然后，您可以自由运行自己的 CA 并颁发像test.example.com（但不是test.foobar.com）这样的证书，而这些证书又会受到公共网络的信任。我不知道任何提供此服务的根 CA，但确实有可能。如果有人偶然发现这样的提供商，请告诉我。

除了来自 Joe H 的链接之外，这里还有一个实际有效的链接：

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing 并不便宜，但这些东西对于大型企业来说是存在的。

我知道这是一篇旧帖子，但我一直在寻找几乎与此相同的东西。与其他一些帖子相呼应……有可能……所有这些都非常昂贵且难以建立。这篇文章对“谁做的”和一般的“涉及什么”有点帮助....

https://aboutssl.org/types-of-root-signing-certificates/

至于我从一些分散的来源中获得的一些额外内容……有些要求是有“大量股权”和“保险”……我发现其中列出的价值从 100 万美元到 500 万美元不等取决于来源。因此，不用说，这不是小企业的选择。

此外，我看到一些帖子指出，通常需要将近一年的时间才能满足所有要求并跳过所有审计环节。此外，整个过程涉及的辅助成本可能从 10 万美元到 +100 万美元不等，具体取决于总承包商 + 法律 + 劳动力成本以及您经历的审计次数。所以，再一次，不是小企业的冒险。