중간 SSL 인증서 받기

20

하위 도메인 인증서에 서명하기 위해 중간 인증서를 구매할 수 있습니까? 브라우저에서 인식해야하며 와일드 카드 인증서를 사용할 수 없습니다.

검색은 지금까지 아무것도 나타나지 않았습니다. 그런 인증서를 발행 한 사람이 있습니까?

ssl

— 알렉스 비
소스

3

DigiCert Enterprise를 사용하면 도메인을 사전 검증 한 후 대규모 하위 도메인 인증서 생성을 수행 할 수 있습니다. (공개 : 저는 DigiCert에서 일하지 않지만 고용주는 인증서 서비스를 사용합니다.)

— Moshe Katz

18

문제는 현재 사용되는 인프라 및 구현이 일부 (하위) 도메인으로 제한되는 중간 인증서를 지원하지 않는다는 것입니다. 이는 사실상 중간 인증서를 사용하여 원하는 인증서에 서명 할 수 있으며, 소유하지 않은 도메인에 대한 인증서 일지라도 브라우저가이를 신뢰한다는 것을 의미합니다.

따라서 이러한 중간 인증서는 이것이 의미하는 바에 상관없이 실제로 신뢰할 수있는 조직에게만 제공됩니다 (그러나 많은 돈이 필요할 수 있습니다).

— 스테 펜 울리히
소스

9

예, Comodo 또는 DigiNotar 와 같은 신뢰할 수있는 조직 입니다. 또는 VeriSign ( "Microsoft 인증서를 찾고 있습니다 ..."/ "여기"). TURKTRUST , Digicert Sdn. Bhd , ...

— basic6

실제로 아니오-그들은 자신의 루트와 중간을 실행합니다. 루트 교체는 복잡하므로 일반적으로 루트 인증서 만 사용하여 중간 CA 인증서에 서명 한 다음 루트 ca를 오프라인 상태로 만듭니다. ;)

— TomTom

특별한 이유없이 Google을 선택하지만 중간 CA가 있고 인증서를 판매하지 않기 때문에 TLS를 통해 SMTP를 수행하는 호스트 쌍 사이에서 MITM을 신속하게 감지하지 않으면 도난 당하거나 악용 될 수 있습니다. SMTP 연결을 위해 인증서가 Google에서 발급 한 인증서로 변경하면 꽤 많은 시스템 관리자가 너무 많이 생각하지 않을 것이라고 생각합니다.

— Phil Lello

... 실제로 비즈니스에서 이메일 용 Google 앱으로 전환하면 이런 일이 발생할 수 있습니다.

— Phil Lello

실제로 현재 PKI는이를 명시 적으로 지원합니다. RFC 5280 섹션은 이름 제한 범위를 정의하여 생성 할 수있는 도메인에 대한 제한으로 중간 CA를 작성할 수 있습니다. 문제는 실제로 구현되지 않았다는 것입니다.

— Jake

7

아니요, 원래 인증서를 위반 한 것이므로 브라우저는 인증서를 신뢰하고 google.com 등을 위해 물건을 발행 할 수 있습니다.-그렇게 똑똑하면 쉽게 얻을 수 없습니다.

중개 인증 기관은 많은 힘을 가지고 있습니다. 중간 CA는 인증서 서명 기관 (루트 인증서를 통해 신뢰 됨)이며 사양에서 하위 CA를 제한 할 수있는 것은 없습니다.

따라서 평판이 좋은 인증 기관은 귀하에게 인증서를 제공하지 않습니다.

— 톰톰
소스

3

물론 중간 인증서 범위 (예 : 단일 도메인)를 제한 할 수 있다는 인상을 받았습니다. 또 다른 대답은 그렇지 않다는 것을 암시하는 것 같습니다.

— Alex B

1

그렇지 않습니다. 중간 CA는 인증서 서명 기관 (루트 인증서를 통해 신뢰 됨)이며 사양에서 하위 CA를 제한 할 수있는 것은 없습니다.

— TomTom

@TomTom : 좋은 설명입니다. 귀하의 의견에 대한 귀하의 의견을 자유롭게 편집 할 수있었습니다.

— sleske

@ alexb 나는 그것이 스펙이 허용하는 경우라고 생각하지만 그것을 지원하기 위해 클라이언트 구현에 의존 할 수는 없다. 불행히도 나는 참조를 찾을 수 없지만 상당히 확신합니다.

— Phil Lello

5

GeoTrust에서 유효한 CA를 구매할 수있었습니다.

영어 페이지에서 제품을 찾을 수 없지만 다음은 보관 된 버전입니다.

http://archive.is/q01DZ

GeoRoot를 구매하려면 다음 최소 요구 사항을 충족해야합니다.

5 백만 달러 이상의 자산

오류 및 누락 보험에서 최소 $ 5M

정관 (또는 이와 유사한 것) 및 현직 증명서

작성되고 유지 관리되는 CPS (Certificate Practice Statement)

루트 인증서 키 생성 및 저장을위한 FIPS 140-2 레벨 2 호환 장치 (GeoTrust는 SafeNet, Inc.와 파트너십을 맺었습니다)

Baltimore / Betrusted, Entrust, Microsoft, Netscape 또는 RSA의 승인 된 CA 제품

이 제품은 독일어 페이지에서 계속 사용할 수 있습니다.

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

— 방랑자
소스

4

(이것은 인증서와 CA 뒤에 "마법"이 없다는 것을 이해하는 데 도움이되기 때문에 이전 질문에 대한 새로운 답변입니다)

@Steffen Ullrich가 제공 한 승인 된 답변의 확장으로

웹 사이트를 식별하기위한 전체 인증서는 큰 돈을 버는 사업입니다. X509 인증서는 RFC5280에 의해 정의 되며 다른 사용자는 루트 CA 또는 중간 CA 일 수 있으며, 모두 해당 엔티티에 대한 신뢰에 따라 다릅니다.

예 : Active Directory 도메인에있는 경우 기본 도메인 컨트롤러는 기본적으로 신뢰할 수있는 루트 인증 기관입니다. 한편, 다른 제 3자는 절대 관여하지 않습니다.

광범위한 인터넷에서 문제는 "회사를 신뢰할 수있는 사람"이 하나의 회사보다 훨씬 크기 때문에 식별하는 것입니다. 따라서 브라우저 공급 업체는 사용자 동의없이 다른 신뢰할 수있는 루트 CA의 사용자 지정 임의 목록을 제공합니다.

즉, Mozilla 재단과 아주 좋은 관계를 유지하고 있다면 Firefox 브라우저의 다음 릴리스에서 자체적으로 자체 서명 한 루트 CA를 해당 목록에 추가 할 수 있습니다.

또한 인증서와 관련하여 브라우저의 동작 방식에 대한 동작 및 규칙을 정의하는 RFC가 없습니다. 이는 인증서의 "CN"이 도메인 이름과 같기 때문에 일치해야한다는 암시 적 합의입니다.

이것으로 어느 정도 충분하지 않았기 때문에 브라우저 공급 업체는 모두 해당 형식의 와일드 카드 인증서가 *.domain.com모든 하위 도메인과 일치하도록 암시 적으로 노화되었습니다 . 그러나 그것은 단지 한 수준과 일치 sub.sub.domain.com합니다. 그들은 단지 그렇게 결정했기 때문입니다.

원래 질문에 대해 기본 도메인 인증서가 자신의 하위 도메인에 대한 하위 인증서를 만들 수 없도록하는 것은 브라우저가 인증서 체인을 가져 오기만하면 쉽게 확인할 수있는 프로세스입니다.

대답은 : 아무것도

(기술적으로 자신의 도메인 인증서에 "플래그"가 있어야합니다.)

이 방법이 충분히 편리하다면, 판매업자는이를 지원하기로 결정할 수 있습니다.

그러나 첫 번째 진술로 돌아가서 이것은 큰 돈 사업입니다. 따라서 브라우저 공급 업체와 계약을 맺은 소수의 루트 CA는 그 목록에 많은 돈을 소비하고 있습니다. 그리고 오늘날 각 개별 하위 도메인 인증서에 대해 비용을 지불하거나 훨씬 비싼 와일드 카드를 가져와야하므로 돈을 돌려받습니다. 그들이 당신이 당신의 자신의 서브 도메인 인증서를 만들 수 있도록 허용한다면, 이것은 그들의 이익을 엄청나게 줄입니다. 그래서 이것이 오늘날의 이유입니다.

글쎄, 당신은 여전히 유효한 x509 인증서이기 때문에 여전히 할 수 있지만 어떤 브라우저도 그것을 인식하지 못합니다.

— 시몬
소스

AD 예제와 함께 작은 nitpick. Active Directory 자체는 실제로 PKI 인프라를 사용하거나 포함하지 않습니다. 이를 별도로 스핀 업하고 선택적으로 체인을 신뢰하도록 도메인을 구성한 다음 도메인 컨트롤러에 대한 인증서를 생성해야합니다. 그렇지 않으면 좋은 대답입니다.

— Ryan Bolger 2016 년