信頼できる自己署名証明書をどのように発行しますか?
独自のSSL証明書に署名できる製品を提供しているCAショップはどれですか? (サブドメインに名前を付けたと言う)実行可能な代替案はありますか?
追加情報:
安全なWebインターフェイスを備えた製品を、さまざまなクライアントの場所にあるかなりの数のインストールに展開しています。クライアントユーザーは、通常のWebブラウザからポータルにアクセスします。提出されたこれらの証明書を交換/更新することは不可能であるため、10年以上の長い有効期限が理想的です。
可能なオプション(および短所):
-自己署名証明書を使用します(ユーザーにはブラウザのエラー/警告が表示されます)-ワイルドカードまたは多分マルチcn証明書を使用します。 (PKは信頼できないクライアント間で共有されるため、安全性は低くなります)-連鎖認証局になり、証明書に署名します(高価)-インストールごとに個別/一括証明書を購入します(高価で面倒)
それはあなたが正確に何を求めているかに依存します。ブラウザによって(つまり、確立されたCAから)信頼される独自の証明書を作成および取り消す機能が必要な場合は、マネージドPKIアクセスを提供するプロバイダーを探す必要があります。 ThawteとVerisignの両方がこれを提供していることを私は知っています。
信頼できるCAにチェーンされた他のユーザーが使用する証明書を作成する場合、これを行うプロバイダーがいくつかありますが、多くの費用がかかります。
一方、独自の内部使用のために証明書を作成し、ブラウザに手動でインポートする独自のCAを作成する場合は、OpenSSLのみを使用してこれを実行できます。
あなたは興味があるでしょう この議論 私はServerFaultに数ヶ月前にいました。簡単に言うと、ZypherがAlexの回答で述べたタイプのソリューションを追求するために多くの時間とお金がない限り、それはあなたが入りたいと思うものではありません。
もちろん、アプリケーションによっては、独自のCAになり、その証明書をユーザーに配布して(基本的にはシステムにインストールして「信頼」する)、ユーザーが使用する他の証明書に署名するために使用できる場合があります。信頼(信頼の連鎖のため)。
詳細については、他の質問と回答をお読みください。
UCC/SAN証明書に関する追加情報
IceMageが指摘した回答 私の質問 あなたと同様の状況の回避策について。これらのUCC証明書は非常にきちんとしていて、私のニーズを処理しましたが、少し追加の作業が必要でした。そのスレッドでは特にCACertについて説明していますが、最終的にはGoDaddyから必要なものを購入しました。この情報がお役に立てば幸いです。
ルート認証局になるための時間と費用のかかるプロセスを経ずに、サブドメインに対しても独自の証明書に署名することはできないと思います。証明書は、Webブラウザーにリストされている機関からのものであるため、信頼されています。
これらはFirefoxに含まれている認証局です- http://www.mozilla.org/projects/security/certs/included/