当我创build一个CAangular色时,有一个“根CA”和“从属CA”的选项,select第二个添加一个选项来生成一个证书请求。
这是否意味着我可以从Comodo那里购买一个服务,它将签署我的CA证书,并允许为我的域创build自签名证书,这将由所有常见的浏览器(和其他服务/应用程序)自动推送?
TL; DR:可能不是。
长版本:这意味着这在技术上是可能的,但并不一定意味着服务存在。
从属CA的主要思想是拥有一个真正的CA设置的公司,即在公司内部使用它。 在这种情况下,您可以select为您的公司和几个从属CA创build一个根CA,以便您可以为不同的从属CA签署不同types的证书。
然而,Comodo或其他人是否允许你运行一个能够创build将被所有浏览器信任的证书的从属CA是完全不同的一堆鱼。 对于拥有根CA的人来说,存在重大的风险 – 如果您要以自己的安全性不足的方式来处理自己的CA,最终可能会收到很多由您的CA签名并信任Comodo的人信任的虚假证书。 这可能会让他们的所有证书在浏览器中被标记为不可信,从而损害了他们的声誉和业务。
虽然我没有检查过,但我会假定任何根CA的权威机构都需要对他们所信任的公司进行实质性的安全实践投资。在这个级别上运行CA需要在技术方面(即保护networking,对服务器的物理访问等)以及在创build例程和程序,职责分离等方面做了大量的工作,以确保CA是安全的。 这不是一件轻率的事情。