哪个CA商店提供了一个允许您签署自己的SSL证书的产品? (称为子域名)有没有可行的select?
附加信息:
我们正在部署一个带有安全networking接口的产品,以便在不同客户的地点进行大量安装。 客户端用户将从任何普通的Web浏览器访问他们的门户。 由于replace/更新这些证书是不可行的,长达十年或更长的失效date是理想的。
可能的选项(和缺点):
– 使用自签名证书(用户将看到浏览器错误/警告) – 使用通配符或多个cn证书。 (由于PK在不信任的客户端之间共享,所以安全性较低) – 成为链接的证书颁发机构并签署证书(昂贵的) – 为每个安装购买单个/批量证书(昂贵且麻烦)
这取决于你要求的是什么。 如果您希望能够创build和撤销浏览器(即来自已build立的CA)所信任的自己的证书,那么您应该寻找一个提供者来pipe理PKI访问。 我知道Thawte和Verisign都提供这个function。
如果你想创build别人使用的链接到一个可信任的CA的证书,有一些提供者这样做,但它的成本很高。
另一方面,如果您希望为自己的内部使用创build证书,并且想要创build自己的CA(手动导入到浏览器中),则只需使用OpenSSL即可完成此操作。
您将对我在几个月前在ServerFault上的讨论感兴趣。 简单地说,除非你有足够的时间和金钱去追求Zypher在Alex的回答中提到的解决scheme,否则这不是你想要进入的东西。
当然,根据您的应用程序,您可以成为您自己的CA,并将该证书分发给您的用户(基本上将其安装并“信任”到他们的系统中),然后您可以使用它来签署其他证书,用户将信任(由于信任链)。
阅读另一个问题和答案的更多细节。
有关UCC / SAN证书的附加信息
IceMage指出了我的问题 ,即解决类似于你的情况的解决办法。 这些UCC证书是相当整洁,并处理我的需求,但他们确实需要一些额外的工作。 那个线程专门讨论CACert,但是我最终从GoDaddy购买了我需要的东西。 我希望这个信息可以帮助你。
我不认为你可以签署自己的证书,即使是一个子域名,而不经过漫长而昂贵的过程,成为一个根证书颁发机构。 证书是可信的,因为它来自您的Web浏览器中列出的权限。
这些是包含在Firefox中的证书权威 – http://www.mozilla.org/projects/security/certs/included/