서명 된 중간 인증서를 통해 신뢰할 수있는 CA가 될 수 있습니까?

루트 CA로부터 자신의 웹 서버 인증서에 서명하는 데 사용할 수있는 인증서를받을 수 있습니까? 가능하면 서명 된 인증서를 중간 인증서로 사용하여 다른 인증서에 서명하고 싶습니다.

고객에게 신뢰 체인에 대한 정보를 제공하려면 "내"중간 인증서를 사용하여 시스템을 특정 방식으로 구성해야한다는 것을 알고 있습니다.

이것이 가능한가? 루트 CA는 이와 같은 인증서에 기꺼이 서명합니까? 비싸?

배경

HTTP를 통한 웹 트래픽 보안과 관련하여 SSL의 기본 사항에 익숙합니다. 또한 브라우저에 의해 결정된 루트 체인까지 유효한 체인이있는 인증서로 암호화하면 웹 트래픽이 "기본적으로"보호된다는 점에서 신뢰 체인 작동 방식에 대한 기본적인 이해가 있습니다. / OS 공급 업체

또한 많은 루트 CA가 중간 인증서로 최종 사용자 (나 같은)에 대한 인증서 서명을 시작했음을 알고 있습니다. 결국 좀 더 설정해야 할 수도 있지만 그렇지 않으면 해당 인증서가 제대로 작동합니다. 나는 이것이 CA에 대한 그들의 귀중한 개인 키와 내가 타협했을 경우의 재난을 보호하는 것과 관련이 있다고 생각합니다.

실시 예

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

이제 우리는 그러한 조직의 규모는 아니지만, 이와 같은 일을하고있는 것 같습니다. 이는 특히 전자 상거래 플랫폼의 범위를 확대하는 한 가지 방법을 고려할 때 이러한 인증서의 관리를 더욱 만족스럽게 만들어 줄 것입니다.

귀하의 질문은 "임의의 인터넷 사용자가 신뢰하는 조직 내부 및 외부의 엔터티에 인증서를 발급하려면 어떻게해야합니까?"

그 질문에 대한 답이 "그렇지 않다"입니다. 그렇지 않은 경우 명확히하십시오.

또한 "Brian Komar의 Windows Server 2008 PKI 및 인증서 보안"을 읽고 응용 프로그램에 대한 다양한 PKI 시나리오를 모두 고려하십시오. 책에서 무언가를 얻기 위해 Microsoft의 CA를 사용할 필요는 없습니다.

빠른 검색은 그러한 것들이 존재한다는 것을 보여 주지만 '견적을 위해 문의하십시오'는 값이 싸지 않다는 것을 나타냅니다.

https://www.globalsign.com/en/certificate-authority-root-signing/

나는 회사에 대해 어떠한 주장도하지 않지만, 그 페이지는 다른 회사들도 같은 일을하는 데 사용하는 용어를 제공 할 수 있습니다.

이 작업을 수행 할 수 있다면 Joe Malware가 www.microsoft.com에 대한 인증서를 발급하지 않고 DNS 하이재킹을 통해 자신의 "특별한"업데이트 브랜드를 제공하지 못하게하는 이유는 무엇입니까?

다음은 Microsoft에서 OS에 루트 인증서를 포함시키는 방법입니다.

http://technet.microsoft.com/en-us/library/cc751157.aspx

요구 사항은 매우 가파 릅니다.

이것은 기본적으로 루트 CA의 리셀러가되는 것과 구별 할 수없는 일입니다. 거의 많은 노력과 비용이 들었습니다. Tim이 지적한 것처럼 모든 도메인에 대해 유효한 인증서를 만들 수 있기 때문에 해당 도메인을 제어하지 않으면 허용되지 않아야합니다.

또 다른 대안은 RapidSSL의 리셀러 프로그램 으로 루트 CA에서 모든 노력과 문제를 해결하는 것입니다.

다음 두 가지 질문을 해보십시오.

1. 사용자가 루트 인증서를 웹 브라우저로 올바르게 가져 오도록 믿습니까?
2. 기존 루트 CA와 파트너 관계를 맺을 리소스가 있습니까?

대답이 1 인 경우, CAcert 가 문제를 해결했습니다. 2에 대한 대답이 예이면 OpenSSL, Firefox, IE 및 Safari와 함께 제공되는 신뢰할 수있는 루트 인증서 목록을 살펴보고 중개 인증서에 서명 할 인증서를 찾으십시오.

더 나은 방법은 CA에서 와일드 카드 인증서를 얻는 것입니다.이 방법으로 기본 도메인의 모든 하위 도메인에서 동일한 인증서를 사용할 수 있지만 다른 용도로는 인증서를 발급 할 수 없습니다.

루트 CA가 특정 도메인에서만 다른 인증서를 발급 할 수있는 인증서를 발급 할 수 있습니다. basicConstraints / CA : true 및 nameConstraints / permitted; DNS.0 = example.com 을 설정해야합니다 .

그런 다음 자신의 CA를 자유롭게 실행하고 test.example.com ( test.foobar.com 아님 ) 과 같은 인증서를 발급 하면 공용 웹에서 신뢰할 수있게됩니다. 이 서비스를 제공하는 루트 CA를 모르지만 실제로 가능합니다. 누군가 그러한 제공자에게 걸려 넘어지면 알려주십시오.

Joe H의 링크 외에도 실제로 작동하는 링크는 다음과 같습니다.

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing은 저렴하지 않지만 대기업에는 그러한 것들이 존재합니다.

나는 이것이 오래된 게시물이라는 것을 알고 있지만, 이것과 거의 동일한 것을 오랫동안 열심히 찾고있었습니다. 몇몇 다른 게시물에서 반향 ... 가능합니다 ... 모두 비싸고 설정하기가 어렵습니다. 이 기사는 "누가하는 일"과 일반적인 "관련된 일"에 약간 도움이됩니다.

https://aboutssl.org/types-of-root-signing-certificates/

내가 흩어진 일부 소스에서 얻은 일부 엑스트라는 요구 사항 중 일부는 "실질적인 주식"과 "보험"을 가지고 있습니다. 소스에 따라. 말할 필요도없이, 이것은 소규모 비즈니스를위한 옵션이 아닙니다.

또한 모든 요구 사항을 충족하고 모든 감사 후프를 뛰어 넘기 위해서는 일반적으로 1 년 정도 걸릴 것으로 예상되는 게시물을 보았습니다. 또한 전체 프로세스와 관련된 보조 비용은 일반 계약자 + 법적 + 노동 비용과 감사 감사 횟수에 따라 1 억 달러에서 1 백만 달러까지 다양합니다. 다시 말하지만 소기업을위한 모험은 아닙니다.