क्या मैं अपने डोमेन के लिए एक प्रमाणपत्र खरीद सकता हूं जो उप-डोमेन के लिए अन्य प्रमाणपत्रों पर हस्ताक्षर कर सकता है?

मैंने विंडोज कंप्यूटर पर चलने के लिए एक छोटा सा प्रोग्राम लिखा है जो वेब ब्राउजर पर जाकर पोर्ट 443 के माध्यम से एसएसएल / टीएलएस वेब पेज पर कार्य करता है। मैं चाहता हूं कि गैर-तकनीकी लोगों के लिए इस कार्यक्रम को स्थापित करना और चलाना आसान हो। मैंने उनके लिए कार्यक्रम में एक स्व-हस्ताक्षरित प्रमाण पत्र या प्रमाणपत्र हस्ताक्षर अनुरोध बनाने के लिए आसान बना दिया है, लेकिन मुझे लगता है कि वे सीएसआर पर हस्ताक्षर करने और एक डोमेन नाम से कनेक्ट होने के लिए संघर्ष करने जा रहे हैं जो उनके सर्वर पर इंगित करता है। मैं इस प्रक्रिया की तकनीकी कठिनाई को कम करना चाहता हूं।

क्या मैं एक SSL प्रमाणपत्र खरीद सकता हूं जो मेरे डोमेन नाम के उप डोमेन के लिए प्रमाण पत्र पर हस्ताक्षर कर सकता है? Customer1.mydomain.com, customer2.mydomain.com आदि जैसे कुछ और फिर मैं अपने सर्वर पर अपने DNS उप डोमेन को इंगित कर सकता था और उनके लिए अपने प्रमाण पत्र पर हस्ताक्षर कर सकता था और पूरी प्रक्रिया को स्वचालित कर सकता था। या शायद यह बहुत महंगा होगा?

यदि नहीं, तो एक * .mydomain.com प्रमाणपत्र के साथ अपने स्वयं के सर्वर पर अपने सभी वेब अनुप्रयोगों की मेजबानी करने के अलावा, एसएसएल प्रमाणपत्र और डोमेन नाम स्थापित करने के लिए मैं उन्हें क्या सबसे सरल समाधान दे सकता हूं?

StartCom में इंटरमीडिएट सर्टिफिकेट अथॉरिटी प्रोग्राम है । लिंक्ड साइट के अनुसार कार्यक्रम 1,000 या अधिक प्रमाण पत्र जारी करने वालों के लिए है और औसत लागत प्रति सर्टिफिकेट लगभग 2 डॉलर है।

दुखद सच्चाई यह है कि आप जो लक्ष्य रखते हैं, वह तकनीकी रूप से x.509 के नाम से संभव है। कांस्ट्रेन्ड अनुमतियों के अनुसार RFC 2459 सेक्शन 4.2.1.11 में परिभाषित किया गया है , लेकिन आपको शायद ही कोई CA आपको ऐसा कोई प्रमाण पत्र प्रदान करने को तैयार हो।

कुछ ऐसा नहीं करेंगे, इस सोच के कारण कि आपको एक बार इस तरह का प्रमाणपत्र बेचना उतना अच्छा नहीं है जितना कि कई बार प्रति-होस्ट-सर्टिफिकेट बेचना।

कुछ स्वयंभू ब्राइडेड विनियामक आवश्यकताओं या बाहरी दलों की आवश्यकताओं के कारण नहीं होंगे।

एक बड़े टेलीकॉम प्रदाता की प्रमाणपत्र श्रृंखला के बारे में एक बहुत ही दुखद कहानी है जिसने राष्ट्रीय अनुसंधान नेटवर्क के लिए मध्यवर्ती सीए पर हस्ताक्षर किए हैं जिसने बदले में विश्वविद्यालयों को सीए प्रमाण पत्र जारी किया था। हालांकि यह बहुत दुखद नहीं है, लेकिन उदासी की शुरुआत उक्त टेलीकॉम प्रदाता से एक साहसी व्यक्ति के रूप में होती है, जिसने प्रमाण पत्र प्राप्त करने का प्रयास किया और ट्रस्ट श्रृंखला को मोज़िला फ़ायरफ़ॉक्स में शामिल किया गया - इसमें 4 साल के विचार-विमर्श, समीक्षा, गलतफहमी और इससे भी अधिक चर्चाएँ हुईं। यह अंत में शामिल किया गया था।

आप जो खरीद सकते हैं वह ज्यादातर कुछ "प्रबंधित सेवा" है जहां आप अपनी इच्छा से कम या ज्यादा नए प्रमाण पत्र बनाने के लिए सीए के इंटरफेस का उपयोग करेंगे। बेशक, यह आम तौर पर पहले से बहुत अधिक पैसा खर्च करेगा और आपके द्वारा जारी किए गए प्रमाण पत्र के लिए अतिरिक्त शुल्क लिया जाएगा।

आप जो इरादा रखते हैं उसके साथ समस्या यह है कि एक प्राथमिक CA (Verisign, Thawte, आदि) के लिए केवल अधीन प्रमाणपत्र देने के लिए एक अधीनस्थ CA (आप जो खोज रहे हैं) को बाध्य करने के लिए या एक विशिष्ट डोमेन के लिए मान्य होने का कोई रास्ता नहीं है। । एक अधीनस्थ सीए जो एक वैध रूट पर जंजीरें पूरे इंटरनेट के लिए प्रमाण पत्र बनाने में सक्षम होगी। यही कारण है कि आप किसी से भी अधीनस्थ CA प्रमाणपत्र प्राप्त नहीं कर सकते हैं, लेकिन एक रूट CA जिसे आप स्वयं बनाते हैं।

आप वह नहीं कर सकते, जो आप बड़े सर्टिफिकेट विक्रेताओं में से एक वाइल्डकार्ट प्रमाणपत्र के बिना देख रहे हैं। जिन्हें अधीनस्थ CA प्रमाणपत्रों के विपरीत खरीदा जा सकता है।