O StartCom tem um programa de Autoridade de Certificação Intermediária . De acordo com o site vinculado, o programa destina-se àqueles que emitem 1.000 ou mais certificados e o custo médio é de cerca de US $ 2 por certificado emitido.
Eu escrevi um pequeno programa para ser executado em um computador Windows que serve páginas da Web SSL / TLS através da porta 443 para visitar navegadores da web. Eu quero que seja fácil para pessoas não técnicas instalarem e rodarem este programa. Eu facilitei a criação de um certificado auto-assinado ou de uma solicitação de assinatura de certificado no programa, mas acho que eles terão dificuldade em obter o CSR assinado e conectado a um nome de domínio que aponta para o servidor. Eu quero reduzir a dificuldade técnica deste processo ao mínimo.
Posso adquirir um certificado SSL que possa assinar certificados para subdomínios do meu nome de domínio? Algo como customer1.mydomain.com, customer2.mydomain.com etc e, em seguida, eu poderia apontar meus subdomínios DNS em seus servidores e assinar seus certificados para eles e automatizar todo o processo. Ou talvez isso seja muito caro?
Se não, além de hospedar todos os aplicativos da web no meu próprio servidor com um certificado * .mydomain.com, qual é a solução mais simples que posso fornecer para configurar os certificados SSL e os nomes de domínio?
O StartCom tem um programa de Autoridade de Certificação Intermediária . De acordo com o site vinculado, o programa destina-se àqueles que emitem 1.000 ou mais certificados e o custo médio é de cerca de US $ 2 por certificado emitido.
A triste verdade é que o que você pretende é tecnicamente possível com o atributo x.509 Name Constraint allowedSubtrees, conforme definido em RFC 2459 Seção 4.2.1.11 , mas você dificilmente encontrará qualquer CA que queira lhe fornecer tal certificado.
Alguns não farão isso devido ao pensamento de que vender esse certificado uma vez não é tão bom quanto vender muitos certificados por host várias vezes.
Alguns não serão devido a requisitos regulamentares ou exigências de terceiros.
Há uma história muito triste sobre a cadeia de certificados de um grande provedor de telecomunicações que assinou CAs intermediárias para uma rede de pesquisa nacional que, por sua vez, emitiu certificados de CA para as Universidades. Embora isso não pareça muito triste ainda, a tristeza começa como um homem corajoso do supracitado provedor de telecomunicações tentou obter o certificado e a cadeia de confiança incluída no Mozilla Firefox - foram necessários 4 anos de discussões, comentários, mal-entendidos e ainda mais discussões antes que fosse finalmente incluída.
O que você pode comprar é principalmente algum "Serviço Gerenciado", no qual você usaria as interfaces da CA para criar novos ou mais certificados à vontade. É claro que isso normalmente custará muito dinheiro antecipadamente e você provavelmente será cobrado adicionalmente por cada certificado emitido.
O problema com o que você pretende é que não haja uma maneira de uma autoridade de certificação primária (Verisign, Thawte, etc) restringir uma autoridade de certificação subordinada (o que você está procurando) para atribuir certificados ou ser válida para um domínio específico. Uma autoridade de certificação subordinada vinculada a uma raiz válida poderá criar certificados para toda a Internet. É por isso que você não pode obter um certificado CA Subordinado de qualquer pessoa, exceto uma CA raiz que você mesmo criou.
Você não pode fazer o que está procurando sem um certificado de wildcart de um dos grandes fornecedores de certificados. Esses podem ser comprados, ao contrário dos certificados de autoridade de certificação subordinada.