Alex B Asked: 2014-06-17 21:36:02 +0800 CST2014-06-17 21:36:02 +0800 CST 2014-06-17 21:36:02 +0800 CST 获取中间 SSL 证书 772 是否可以购买中间证书来使用它来签署子域证书?它必须被浏览器识别,我不能使用通配符证书。 到目前为止,搜索一无所获。有没有人开这样的证书? ssl 4 个回答 Voted Best Answer Steffen Ullrich 2014-06-17T23:21:56+08:002014-06-17T23:21:56+08:00 问题是,当前使用的基础设施和实现不支持仅限于某些(子)域的中间证书。实际上,这意味着您可以使用任何中间证书来签署您想要的任何证书,并且浏览器将信任它,即使这将是您不拥有的域的证书。 因此,这种中间证书只提供给真正值得信赖的组织,无论这意味着什么(但可能涉及大量资金)。 TomTom 2014-06-17T21:59:16+08:002014-06-17T21:59:16+08:00 不,因为这会违反原始证书——浏览器会信任你的证书,你可以开始为 google.com 等发布东西——如果你这样做很聪明,你就不容易获得。 中间证书颁发机构有很大的权力。中间 CA 是证书签名机构 - 通过根证书受信任 - 规范中的任何内容都不允许限制从属 CA。 因此,没有信誉良好的证书组织会给你一个。 moander 2015-06-12T15:18:41+08:002015-06-12T15:18:41+08:00 可以/可以从 GeoTrust 购买有效的 CA。 我无法在英文页面上找到该产品,但这是一个存档版本: http://archive.is/q01DZ 要购买 GeoRoot,您必须满足以下最低要求: 净资产 500 万美元或以上 至少 500 万美元的错误和遗漏保险 提供公司章程(或类似文件)和在职证明 书面和维护的证书实践声明 (CPS) 符合 FIPS 140-2 2 级标准的设备(GeoTrust 已与 SafeNet, Inc. 合作),用于生成和存储您的根证书密钥 Baltimore/Betrusted、Entrust、Microsoft、Netscape 或 RSA 批准的 CA 产品 该产品仍可在其德语页面上找到: http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/ Simon 2017-06-10T10:26:20+08:002017-06-10T10:26:20+08:00 (这是对旧问题的新答案,因为我相信这有助于理解证书和 CA 背后没有“魔法”) 作为@Steffen Ullrich 给出的已批准答案的扩展 识别网站的整个证书只是一项大笔交易。X509 证书由RFC5280定义(除其他外) ,任何人都可以是根 CA 或中间 CA,这完全取决于您对该实体的信任。 例如:如果您在 Active Directory 域中,则默认情况下,您的主域控制器是受信任的根证书颁发机构。同时,绝对没有其他第三方参与。 在广泛的互联网上,问题在于确定“您可以信任的人”,因为它不仅仅是一家公司。因此,浏览器供应商提供了一个自定义的任意根 CA 列表,它将信任它而无需提示您的同意。 即:如果您与 Mozilla 基金会的关系非常好,那么您自己的任意自签名根 CA 可以在他们的 Firefox 浏览器的下一个版本中添加到该列表中......只是因为他们决定了! 此外,没有 RFC 定义浏览器应如何处理证书的行为和规则。这是一个隐含的共识,因为证书的“CN”等于域名,所以它应该是匹配的。 因为这在某些时候还不够,浏览器供应商都隐含地认为表单的通配符证书*.domain.com将匹配任何子域。但它只匹配一个级别:不sub.sub.domain.com,为什么?因为他们就是这么决定的。 现在关于您最初的问题,什么会阻止您的主域证书被允许为您自己的子域创建子证书,这是浏览器检查的一个简单过程,只需获取证书链。 答案是:没有 (除了技术上你应该在你自己的域证书中有一个“标志”来做到这一点) 浏览器供应商,如果他们觉得这足够方便,可能会决定支持它。 然而,回到我的第一个陈述,这是一笔巨款。因此,那些与浏览器供应商达成协议的少数根 CA 正在花费大量资金出现在该列表中。而今天,他们拿回了这笔钱,因为您必须为每个单独的子域证书付费或获得更昂贵的通配符。如果他们允许您创建自己的子域证书,这将极大地削减他们的利润。所以这就是为什么从今天开始,你不能这样做。 好吧,你仍然可以,因为它是严格有效的 x509 证书,但不是任何浏览器都能识别它。
问题是,当前使用的基础设施和实现不支持仅限于某些(子)域的中间证书。实际上,这意味着您可以使用任何中间证书来签署您想要的任何证书,并且浏览器将信任它,即使这将是您不拥有的域的证书。
因此,这种中间证书只提供给真正值得信赖的组织,无论这意味着什么(但可能涉及大量资金)。
不,因为这会违反原始证书——浏览器会信任你的证书,你可以开始为 google.com 等发布东西——如果你这样做很聪明,你就不容易获得。
中间证书颁发机构有很大的权力。中间 CA 是证书签名机构 - 通过根证书受信任 - 规范中的任何内容都不允许限制从属 CA。
因此,没有信誉良好的证书组织会给你一个。
可以/可以从 GeoTrust 购买有效的 CA。
我无法在英文页面上找到该产品,但这是一个存档版本:
http://archive.is/q01DZ
该产品仍可在其德语页面上找到:
http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/
(这是对旧问题的新答案,因为我相信这有助于理解证书和 CA 背后没有“魔法”)
作为@Steffen Ullrich 给出的已批准答案的扩展
识别网站的整个证书只是一项大笔交易。X509 证书由RFC5280定义(除其他外) ,任何人都可以是根 CA 或中间 CA,这完全取决于您对该实体的信任。
例如:如果您在 Active Directory 域中,则默认情况下,您的主域控制器是受信任的根证书颁发机构。同时,绝对没有其他第三方参与。
在广泛的互联网上,问题在于确定“您可以信任的人”,因为它不仅仅是一家公司。因此,浏览器供应商提供了一个自定义的任意根 CA 列表,它将信任它而无需提示您的同意。
即:如果您与 Mozilla 基金会的关系非常好,那么您自己的任意自签名根 CA 可以在他们的 Firefox 浏览器的下一个版本中添加到该列表中......只是因为他们决定了!
此外,没有 RFC 定义浏览器应如何处理证书的行为和规则。这是一个隐含的共识,因为证书的“CN”等于域名,所以它应该是匹配的。
因为这在某些时候还不够,浏览器供应商都隐含地认为表单的通配符证书
*.domain.com将匹配任何子域。但它只匹配一个级别:不sub.sub.domain.com,为什么?因为他们就是这么决定的。现在关于您最初的问题,什么会阻止您的主域证书被允许为您自己的子域创建子证书,这是浏览器检查的一个简单过程,只需获取证书链。
答案是:没有
(除了技术上你应该在你自己的域证书中有一个“标志”来做到这一点)
浏览器供应商,如果他们觉得这足够方便,可能会决定支持它。
然而,回到我的第一个陈述,这是一笔巨款。因此,那些与浏览器供应商达成协议的少数根 CA 正在花费大量资金出现在该列表中。而今天,他们拿回了这笔钱,因为您必须为每个单独的子域证书付费或获得更昂贵的通配符。如果他们允许您创建自己的子域证书,这将极大地削减他们的利润。所以这就是为什么从今天开始,你不能这样做。
好吧,你仍然可以,因为它是严格有效的 x509 证书,但不是任何浏览器都能识别它。