서명 된 중간 인증서를 통해 신뢰할 수있는 CA가 될 수 있습니까?


23

루트 CA로부터 자신의 웹 서버 인증서에 서명하는 데 사용할 수있는 인증서를받을 수 있습니까? 가능하면 서명 된 인증서를 중간 인증서로 사용하여 다른 인증서에 서명하고 싶습니다.

고객에게 신뢰 체인에 대한 정보를 제공하려면 "내"중간 인증서를 사용하여 시스템을 특정 방식으로 구성해야한다는 것을 알고 있습니다.

이것이 가능한가? 루트 CA는 이와 같은 인증서에 기꺼이 서명합니까? 비싸?

배경

HTTP를 통한 웹 트래픽 보안과 관련하여 SSL의 기본 사항에 익숙합니다. 또한 브라우저에 의해 결정된 루트 체인까지 유효한 체인이있는 인증서로 암호화하면 웹 트래픽이 "기본적으로"보호된다는 점에서 신뢰 체인 작동 방식에 대한 기본적인 이해가 있습니다. / OS 공급 업체

또한 많은 루트 CA가 중간 인증서로 최종 사용자 (나 같은)에 대한 인증서 서명을 시작했음을 알고 있습니다. 결국 좀 더 설정해야 할 수도 있지만 그렇지 않으면 해당 인증서가 제대로 작동합니다. 나는 이것이 CA에 대한 그들의 귀중한 개인 키와 내가 타협했을 경우의 재난을 보호하는 것과 관련이 있다고 생각합니다.

실시 예

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

이제 우리는 그러한 조직의 규모는 아니지만, 이와 같은 일을하고있는 것 같습니다. 이는 특히 전자 상거래 플랫폼의 범위를 확대하는 한 가지 방법을 고려할 때 이러한 인증서의 관리를 더욱 만족스럽게 만들어 줄 것입니다.

답변:


9

귀하의 질문은 "임의의 인터넷 사용자가 신뢰하는 조직 내부 및 외부의 엔터티에 인증서를 발급하려면 어떻게해야합니까?"

그 질문에 대한 답이 "그렇지 않다"입니다. 그렇지 않은 경우 명확히하십시오.

또한 "Brian Komar의 Windows Server 2008 PKI 및 인증서 보안"을 읽고 응용 프로그램에 대한 다양한 PKI 시나리오를 모두 고려하십시오. 책에서 무언가를 얻기 위해 Microsoft의 CA를 사용할 필요는 없습니다.


의견을 보내 주셔서 감사하지만, 언급 한 예가 귀하의 진술의 "귀하가 아닙니다"부분을 잘못된 것으로 설정한다고 생각합니다. 해당 인증서에 대한 신뢰 체인을 살펴보면 루트 CA (브라우저 / OS와 함께 배포)와 웹 서버가 HTTPS 트래픽을 암호화하는 데 사용하는 인증서 사이에 엔터프라이즈 별 인증서가 있음을 알 수 있습니다.
클린트 밀러

13
단순한 인증서가 아닙니다. Sun / Microsoft / Dell이 중간 CA를 운영하고 있습니다. 기업을 대상으로하는 공개 CA는 정기적 인 외부 감사가 필요한 비싸고 복잡한 작업입니다. Komar 책은 많은 CA 시나리오를 설명하고 왜 그렇게 복잡한지를 설명합니다. 응용 프로그램 디자인으로 인해 CA가 될 수있는 길을 가고 있다면 디자인 목표와 구현 전략에 대해 오랫동안 고민해야합니다.
duffbeer703

8

빠른 검색은 그러한 것들이 존재한다는 것을 보여 주지만 '견적을 위해 문의하십시오'는 값이 싸지 않다는 것을 나타냅니다.

https://www.globalsign.com/en/certificate-authority-root-signing/

나는 회사에 대해 어떠한 주장도하지 않지만, 그 페이지는 다른 회사들도 같은 일을하는 데 사용하는 용어를 제공 할 수 있습니다.


3

이 작업을 수행 할 수 있다면 Joe Malware가 www.microsoft.com에 대한 인증서를 발급하지 않고 DNS 하이재킹을 통해 자신의 "특별한"업데이트 브랜드를 제공하지 못하게하는 이유는 무엇입니까?

다음은 Microsoft에서 OS에 루트 인증서를 포함시키는 방법입니다.

http://technet.microsoft.com/en-us/library/cc751157.aspx

요구 사항은 매우 가파 릅니다.


글쎄, 두 가지가 있다고 생각합니다. 1. 루트 CA가 조직의 일부가 아닌 다른 엔터티에 대한 인증서에 서명 할 수 없다는 것은 분명합니다. 그들은 나를 한 번 막지 못할 수도 있지만, 나를 위해 서명 한 인증서가 해지 목록에 올 때까지 오래 걸리지 않을 것입니다. 2. 더 중요한 것은 DNS 하이재킹을위한 "전역"규모 기술은 무엇입니까? Kaminsky가 유명하게 만든 캐시 중독 문제는 DNS 공급 업체에 의해 해결되었습니다.
클린트 밀러

이야기하는 모든 인증서가 조직에서 소유 한 경우 동일한 최상위 도메인에 있습니까? 그렇다면 와일드 카드 SSL 인증서 (* .mydomain.com)가 더 나은 전략 일 수 있습니다.
Tim Howland

안타깝게도 더 많은 도메인을 확보해야하므로 비즈니스를 다른 도메인이 필요한 경우로 확장 했으므로 와일드 카드 (초기 전략)가 작동하지 않습니다. 당분간 내 솔루션은 SAN 인증서 (대체 이름)이지만 다른 도메인을 추가 / 삭제 할 때마다 새 인증서를 만드는 것은 다소 고통 스럽습니다.
클린트 밀러

2

이것은 기본적으로 루트 CA의 리셀러가되는 것과 구별 할 수없는 일입니다. 거의 많은 노력과 비용이 들었습니다. Tim이 지적한 것처럼 모든 도메인에 대해 유효한 인증서를 만들 수 있기 때문에 해당 도메인을 제어하지 않으면 허용되지 않아야합니다.

또 다른 대안은 RapidSSL의 리셀러 프로그램 으로 루트 CA에서 모든 노력과 문제를 해결하는 것입니다.


2
나는 더 이상 동의하지 않았다! 인증서를 다른 사람에게 재판매하고 싶지 않습니다. 우리 사업체 내에서 그리고 사업체와 고객 사이의 커뮤니케이션 보안을보다 쉽게 ​​관리하고 싶습니다. 팀은 합법적 인 질문을했지만 요점을 놓친 것 같습니다.
클린트 밀러

3
나는 CA의 관점에서 그것을보고 있습니다. 그들에게 당신이 요구하는 것은 자신의 권리에 따라 본격적인 CA가되는 것입니다. 다른 사람을 위해 인증서를 만든다고해서 기술적 인 능력이 없다는 의미는 아니므로, 그렇지 않은 사람을 확인하기 위해 진지한 통제를 원할 것입니다.
TRS-80

2

다음 두 가지 질문을 해보십시오.

  1. 사용자가 루트 인증서를 웹 브라우저로 올바르게 가져 오도록 믿습니까?
  2. 기존 루트 CA와 파트너 관계를 맺을 리소스가 있습니까?

대답이 1 인 경우, CAcert 가 문제를 해결했습니다. 2에 대한 대답이 예이면 OpenSSL, Firefox, IE 및 Safari와 함께 제공되는 신뢰할 수있는 루트 인증서 목록을 살펴보고 중개 인증서에 서명 할 인증서를 찾으십시오.


2

더 나은 방법은 CA에서 와일드 카드 인증서를 얻는 것입니다.이 방법으로 기본 도메인의 모든 하위 도메인에서 동일한 인증서를 사용할 수 있지만 다른 용도로는 인증서를 발급 할 수 없습니다.


1

루트 CA가 특정 도메인에서만 다른 인증서를 발급 할 수있는 인증서를 발급 할 수 있습니다. basicConstraints / CA : truenameConstraints / permitted; DNS.0 = example.com 을 설정해야합니다 .

그런 다음 자신의 CA를 자유롭게 실행하고 test.example.com ( test.foobar.com 아님 ) 과 같은 인증서를 발급 하면 공용 웹에서 신뢰할 수있게됩니다. 이 서비스를 제공하는 루트 CA를 모르지만 실제로 가능합니다. 누군가 그러한 제공자에게 걸려 넘어지면 알려주십시오.



0

나는 이것이 오래된 게시물이라는 것을 알고 있지만, 이것과 거의 동일한 것을 오랫동안 열심히 찾고있었습니다. 몇몇 다른 게시물에서 반향 ... 가능합니다 ... 모두 비싸고 설정하기가 어렵습니다. 이 기사는 "누가하는 일"과 일반적인 "관련된 일"에 약간 도움이됩니다.

https://aboutssl.org/types-of-root-signing-certificates/

내가 흩어진 일부 소스에서 얻은 일부 엑스트라는 요구 사항 중 일부는 "실질적인 주식"과 "보험"을 가지고 있습니다. 소스에 따라. 말할 필요도없이, 이것은 소규모 비즈니스를위한 옵션이 아닙니다.

또한 모든 요구 사항을 충족하고 모든 감사 후프를 뛰어 넘기 위해서는 일반적으로 1 년 정도 걸릴 것으로 예상되는 게시물을 보았습니다. 또한 전체 프로세스와 관련된 보조 비용은 일반 계약자 + 법적 + 노동 비용과 감사 감사 횟수에 따라 1 억 달러에서 1 백만 달러까지 다양합니다. 다시 말하지만 소기업을위한 모험은 아닙니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.