क्या मैं हस्ताक्षरित मध्यवर्ती प्रमाणपत्र के माध्यम से अपना स्वयं का विश्वसनीय सीए हो सकता हूं?

क्या मुझे रूट CA से एक प्रमाण पत्र मिल सकता है जिसे मैं अपने स्वयं के वेब सर्वर प्रमाणपत्रों पर हस्ताक्षर करने के लिए उपयोग कर सकता हूं? यदि संभव हो तो, मैं अन्य प्रमाणपत्रों पर हस्ताक्षर करने के लिए एक मध्यवर्ती के रूप में हस्ताक्षरित प्रमाण पत्र का उपयोग कर सकता हूं।

मुझे पता है कि मुझे अपने ग्राहकों को विश्वास की श्रृंखला के बारे में जानकारी प्रदान करने के लिए "मेरे" मध्यवर्ती प्रमाण पत्र के साथ एक निश्चित तरीके से अपने सिस्टम को कॉन्फ़िगर करना होगा।

क्या यह संभव है? क्या रूट सीए इस तरह से प्रमाण पत्र पर हस्ताक्षर करने के लिए तैयार हैं? यह महंगा है?

पृष्ठभूमि

मैं SSL की मूल बातें से परिचित हूँ क्योंकि यह HTTP पर वेब ट्रैफ़िक प्राप्त करने से संबंधित है। मुझे विश्वास है कि जिस तरह से विश्वास है कि वेब ट्रैफिक "डिफ़ॉल्ट रूप से" सुरक्षित है, यदि आप एक प्रमाण पत्र के साथ एन्क्रिप्ट करते हैं, जो एक वैध श्रृंखला है जो रूट CA पर वापस जाता है, तो ब्राउज़र द्वारा निर्धारित तरीके से बुनियादी समझ है। / ओएस विक्रेता।

मुझे यह भी ज्ञात है कि कई रूट सीए ने मध्यवर्ती प्रमाण पत्रों के साथ अंतिम उपयोगकर्ताओं (जैसे मेरे) के लिए प्रमाण पत्र पर हस्ताक्षर करना शुरू कर दिया है। मेरे अंत में थोड़ा और सेटअप की आवश्यकता हो सकती है, लेकिन अन्यथा, वे प्रमाणपत्र ठीक काम करेंगे। मुझे लगता है कि सीए और आपदा के लिए उनकी सभी मूल्यवान निजी कुंजी की रक्षा के साथ यह करना है कि अगर मैं कभी भी समझौता किया गया तो यह होगा।

उदाहरण

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

अब, हम निश्चित रूप से उन संगठनों में से किसी का आकार नहीं हैं, लेकिन वे ऐसा कुछ कर रहे हैं। यह निश्चित रूप से इन प्रमाणपत्रों के प्रबंधन को बहुत अधिक उपयोगी बना देगा, खासकर एक तरह से हम अपने ई-कॉमर्स प्लेटफॉर्म की पहुंच का विस्तार कर रहे हैं।

आपका प्रश्न मेरे और दूसरों के लिए "मैं अपने संगठन के अंदर और बाहर की संस्थाओं को प्रमाण पत्र कैसे जारी करता हूं जो कि मनमाने ढंग से इंटरनेट उपयोगकर्ताओं द्वारा विश्वसनीय हैं?"

यदि आपका प्रश्न उत्तर की तुलना में "आप नहीं है" है। यदि ऐसा नहीं है, तो कृपया स्पष्ट करें।

मैं "विंडोज़ सर्वर 2008 पीकेआई और ब्रायन कोमार द्वारा सर्टिफिकेट सिक्योरिटी" पढ़ने की भी सलाह देता हूं और आपके अनुप्रयोगों के लिए सभी पीकेआई परिदृश्यों पर विचार करता हूं। आपको पुस्तक से कुछ निकालने के लिए Microsoft के CA का उपयोग करने की आवश्यकता नहीं है।

एक त्वरित खोज से पता चलता है कि इस तरह की चीजें मौजूद हैं, लेकिन 'एक उद्धरण के लिए हमसे संपर्क करें' से पता चलता है कि यह सस्ता नहीं होगा:

https://www.globalsign.com/en/certificate-authority-root-signing/

मैं कंपनी के बारे में कोई दावा नहीं करता, लेकिन वह पेज आपको अन्य कंपनियों को ऐसा करने के लिए उपयोग करने के लिए शर्तें दे सकता है।

यदि आप ऐसा कर सकते हैं, तो क्या जो मालवेयर को www.microsoft.com के लिए एक सर्टिफिकेट जारी करने और DNS हाईजैक के माध्यम से आपको अपडेट करने का अपना "विशेष" ब्रांड देने से रोकने वाला है?

FWIW, Microsoft द्वारा ओएस में शामिल किए गए रूट प्रमाणपत्र को यहां दिया गया है:

http://technet.microsoft.com/en-us/library/cc751157.aspx

आवश्यकताएँ बहुत खड़ी हैं।

यह मूल रूप से उस रूट CA के लिए एक पुनर्विक्रेता बनने से अप्रभेद्य है, जो निश्चित रूप से होने के लिए बहुत प्रयास और धन खर्च करता है। ऐसा इसलिए है, क्योंकि टिम नोट्स के रूप में, आप किसी भी डोमेन के लिए एक वैध प्रमाणपत्र बना सकते हैं, जिसे तब तक अनुमति नहीं दी जानी चाहिए जब तक आप उस डोमेन को नियंत्रित नहीं करते।

एक विकल्प रैपिडएसएसएल का पुनर्विक्रेता कार्यक्रम है जिसमें वे अपनी जड़ सीए से पूरी मेहनत और मुद्दा बनाते हैं।

खुद से पूछें ये दो सवाल:

1. क्या आप अपने उपयोगकर्ताओं को अपने वेब ब्राउज़र में रूट प्रमाणपत्र ठीक से आयात करने के लिए भरोसा करते हैं?
2. क्या आपके पास मौजूदा रूट CA के साथ साझेदारी करने के लिए संसाधन हैं?

यदि उत्तर हां में 1 है, तो CAcert ने आपके लिए आपकी समस्या हल कर दी है। यदि 2 का उत्तर हाँ है, तो OpenSSL, फ़ायरफ़ॉक्स, IE और सफारी के साथ भेजे गए विश्वसनीय रूट प्रमाणपत्रों की सूची देखें और अपने मध्यस्थ प्रमाणपत्र पर हस्ताक्षर करने के लिए एक खोजें।

मुझे लगता है कि आप जो कर रहे हैं उससे बेहतर होगा कि आपको CA से वाइल्डकार्ड प्रमाणपत्र मिल रहा है, इस तरह आप उसी प्रमाण पत्र का उपयोग अपने प्राथमिक डोमेन के किसी भी उप डोमेन पर कर सकते हैं, लेकिन आप किसी और चीज़ के लिए प्रमाणपत्र जारी नहीं कर सकते।

एक रूट CA के लिए एक प्रमाण पत्र जारी करना संभव है जो अन्य प्रमाण पत्र जारी करना संभव बनाता है, लेकिन केवल एक विशिष्ट डोमेन के तहत। उन्हें basicConstraints / CA सेट करने की आवश्यकता है : true और nameConstraints / अनुमत; DNS.0 = example.com

फिर आप अपना स्वयं का सीए चलाने के लिए स्वतंत्र हैं और test.example.com (लेकिन test.foobar.com नहीं ) जैसे प्रमाण पत्र जारी करते हैं, जिस पर जनता के वेब पर भरोसा किया जाएगा। मैं किसी भी मूल सीए को नहीं जानता जो यह सेवा प्रदान करता है, लेकिन यह वास्तव में संभव है। यदि कोई ऐसे प्रदाता पर ठोकर खाता है, तो कृपया मुझे बताएं।

जो एच से लिंक के अलावा, यहां एक लिंक है जो वास्तव में काम करता है:

https://www.globalsign.com/en/certificate-authority-root-signing/

सीए रूट साइनिंग सस्ता नहीं है, लेकिन बड़े उद्यमों के लिए वे चीजें मौजूद हैं।

मुझे पता है कि यह एक पुरानी पोस्ट है, लेकिन मैं इसके लिए लगभग समान के लिए लंबे और कठिन लग रहा था। कुछ अन्य पदों से गूंज ... यह संभव है ... सभी को स्थापित करना काफी महंगा और मुश्किल है। यह लेख "कौन करता है" और सामान्य "क्या शामिल है" में थोड़ा मददगार है ...।

https://aboutssl.org/types-of-root-signing-certificates/

कुछ एक्स्ट्रा के रूप में जो मैंने कुछ बिखरे स्रोतों से उठाया है ... कुछ आवश्यकताओं में "पर्याप्त इक्विटी" और "बीमा" हैं ... जिनमें से मुझे $ 1M से $ 5M तक कहीं भी सूचीबद्ध होना पाया गया है। स्रोत पर निर्भर करता है तो, कहने की जरूरत नहीं है, यह एक छोटे व्यवसाय के लिए एक विकल्प नहीं है।

इसके अतिरिक्त, मैंने पदों को यह कहते हुए देखा है कि सभी आवश्यकताओं को पूरा करने और सभी ऑडिट हुप्स के माध्यम से कूदने के लिए आमतौर पर एक वर्ष के करीब लगेगा। इसके अलावा, पूरी प्रक्रिया में शामिल सहायक लागत $ 100k से $ 1M तक हो सकती है जो सामान्य ठेकेदार + कानूनी + श्रम लागतों के साथ-साथ आपके द्वारा ऑडिट के कितने मुकाबलों पर निर्भर करता है। तो, फिर से, एक छोटे व्यवसाय के लिए एक उद्यम नहीं।