Como você emite certificados auto-assinados confiáveis?

5

Qual loja CA oferece um produto que permite assinar seus próprios certificados SSL? (digamos, nomeado para um subdomínio) Existem alternativas viáveis?

Informações adicionais:

Estamos implantando um produto com uma interface web segura para um número considerável de instalações em vários locais dos clientes. Os usuários do cliente estarão acessando seus portais de qualquer navegador da web normal. Como a substituição / renovação desses certificados no campo não é viável, datas de expiração longas de uma década ou mais são ideais.

Opções possíveis (e contras):
- Use certificados auto-assinados (os usuários verão um erro / aviso do navegador) - Use certificados Wild-card ou talvez multi-cn. (menos seguro, pois o PK é compartilhado entre clientes não confiáveis) - Torne-se uma autoridade de certificação encadeada e assine certificados (caros) - comprar certificados individuais / em massa para cada instalação (caro e pesado)

    
por MandoMando 31.12.2009 / 18:48

3 respostas

4

Depende do que você está pedindo exatamente. Se você deseja a capacidade de criar e revogar seus próprios certificados confiáveis para os navegadores (ou seja, de uma CA estabelecida), procure um provedor que ofereça acesso PKI gerenciado. Eu sei que Thawte e Verisign fornecem isso.

Se você quiser criar certififcates para uso de outras pessoas que estejam encadeados a uma CA confiável, há alguns provedores que fazem isso, mas custa MUITO.

Se, por outro lado, você quiser criar certificados para seu próprio uso interno e quiser criar sua própria CA que você importa para o seu navegador manualmente, você pode fazer isso usando apenas o OpenSSL.

    
por 31.12.2009 / 20:12
3

Você terá interesse em esta discussão eu tive alguns meses atrás no ServerFault. Em poucas palavras, não é algo que você queira entrar, a menos que você tenha muito tempo e dinheiro para buscar o tipo de solução que Zypher mencionou na resposta de Alex.

É claro que, dependendo do seu aplicativo, você pode se tornar seu próprio CA e distribuir esse certificado para seus usuários (basicamente instalar e "confiar" em seus sistemas), que você pode usar para assinar outros certificados que seus usuários irão confiar (por causa da cadeia de confiança).

Leia a outra pergunta e respostas para mais detalhes.

Informações adicionais sobre certificados de UCC / SAN

O IceMage apontou que respondeu minha pergunta sobre uma solução alternativa para uma situação semelhante à sua. Esses certificados do UCC são muito legais e lidam com minhas necessidades, mas eles exigem um pouco de trabalho adicional. Esse tópico discute especificamente o CACert, mas acabei comprando o que eu precisava do GoDaddy. Espero que esta informação o ajude.

    
por 31.12.2009 / 21:38
2

Eu não acho que você pode assinar seus próprios certificados mesmo para um subdomínio sem passar por um processo longo e caro para se tornar uma autoridade de certificação raiz. Um certificado é confiável porque vem de uma autoridade listada em seu navegador da Web.

Estas são as autoridades de certificação incluídas no Firefox- link

    
por 31.12.2009 / 19:17