자체 확장 유효성 검사 SSL 인증서를 만들 수 있습니까?


34

이 방법으로 자체 CA로 만들고 자체 서명 된 SSL 인증서를 생성 할 수 있습니다. 그러나 브라우저가 인증서를 "확장 유효성 검사 SSL 인증서"로 표시하려면 무엇이 필요합니까?

직접 만들어 내 브라우저에 EV로 표시하도록 지시 할 수 있습니까?


당신은 이것을 볼 수 있습니다 : blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

답변:


35

EV SSL 인증서가 작동하는 방식은 인증서의 인증서 정책 확장 필드에 인증 기관별 OID를 사용하는 것입니다 (그렇지 않으면 표준 X.509 인증서 임).

EK가 말했듯이 각 기관에 대한 참조 OID는 브라우저의 인증서 루트 저장소의 일부로 제공됩니다. 사용자 인터페이스에서는 새 CA를 추가 할 수 없으며 "EV 가능 CA이고 UID는 abcdef"입니다.

소스에서 오픈 소스 브라우저를 구축하고 자체 CA 인증서와 EV oid를 루트 저장소에 추가하는 것이 가능하다고 생각하지만 실제로 그렇게하지는 못했습니다. 브라우저가 더 이상 CA / 브라우저 포럼 EV 지침 (EV 가능 권한을 제한 함)을 준수하지 않습니다.

Wikipedia에는 ​​EV 인증서에 대한 자세한 정보가 있습니다.

http://en.wikipedia.org/wiki/Extended_Validation_Certificate


2

아뇨. 이것에 대한 신뢰할 수있는 뿌리는 브라우저 내에서 고정되어 있습니다


3
브라우저를 수정해야한다는 의미입니다. 그는 "브라우저에게 EV로 보여줄 수 있도록 가르 칠 수 있는지"를 구체적으로 물었다. FireFox 또는 소스를 사용할 수있는 다른 브라우저 인 경우 가능합니다.
David Schwartz

1
그는 실제로 '내 브라우저를 가르 칠 수 있습니까?'라고 말했지만 EV로 전적으로 자신의 인증서를 보는 것은 무의미합니다. 그래서 내 대답의 목표는 pedantic보다는 실용적이었습니다. 정말로 까다 롭기를 원한다면 소스에서 완전히 새로운 브라우저를 컴파일하는 것이 기존 브라우저를 가르치지 않기 때문에 내 대답은 여전히 ​​옳습니다. : P
JamesRyan

5
나는 그것이 무의미하다는 것에 동의하지 않습니다. 예를 들어, 조직에서는 모든 내부 사이트가 인식되도록 모든 브라우저에 배치하는 것이 좋습니다.

왜 EV 인증서가 필요한가요? 모든 인증서에 적용되는 것은 아니며 EV 이외의 인증서에 대해 신뢰할 수있는 루트를 추가 할 수 있습니다.
JamesRyan

그들은 있고 그렇지 않습니다. 신뢰할 수있는 루트 인증 기관 저장소에서 인증서를 항상 가져오고 제거 할 수 있습니다. 조직의 도메인 관리자는 정책을 통해 관리되는 사용자에게 루트 인증서를 푸시하여 브라우저가 내부 서버에 대해 생성 한 인증서를 신뢰하도록 할 수 있습니다. 내가 너무 내 사용자가 자신의 인증서에 "EV"수준의 검증을 볼 수 있도록 내 내부 인증서에 서명하는 방법을 알고 싶습니다. 누군가가 그렇게하기 위해해야 ​​할 일을 말해 줄 수 있기를 바랍니다.
Erik
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.