क्या मूल प्रमाणपत्र के उपयोग को किसी डोमेन तक सीमित करना संभव है

मेरा ग्राहक किसी एप्लिकेशन के काम करने के लिए स्व हस्ताक्षरित प्रमाणपत्र का उपयोग करता है। काम करने में सक्षम होने के लिए, मुझे रूट प्रमाणपत्र स्थापित करना होगा जो वे प्रमाण पत्र पर हस्ताक्षर करने के लिए उपयोग करते थे।

क्या रूट प्रमाणपत्र को कॉन्फ़िगर करना संभव है इसलिए यह केवल एक डोमेन के लिए मान्य है?

निर्धारित नियम के रूप में:

नहीं , ग्राहक के सीए प्रमाणपत्र पर भरोसा करने में निहित है, उस सीए द्वारा हस्ताक्षरित प्रत्येक प्रमाण पत्र में भरोसा है।

मैं ऐसे किसी भी एप्लिकेशन / लाइब्रेरी के बारे में नहीं जानता, जिसके पास एक आसान विकल्प है जो आपको अंतिम-उपयोगकर्ता के रूप में चयन करने की अनुमति देता है कि आप अपने ग्राहकों या किसी अन्य CA प्रमाणपत्र पर केवल कुछ (उप) डोमेन के लिए अर्थात केवल * के लिए विश्वास करेंगे। example.com और * .example.org और कुछ नहीं।

मोज़िला को वर्तमान में विश्वसनीय सरकारी प्रायोजित सीए के रूप में एक समान ध्यान देने वाली बात है , उदाहरण के लिए और क्रोम ने Google साइटों तक पहुँचने के लिए अतिरिक्त चेक का निर्माण किया है, जो कि दुष्ट * .google.com प्रमाणपत्र और डिजीनोटार सीए के समझौता था। ।

लेकिन अगर आप सीए पर भरोसा नहीं करते हैं, तब भी आप उस सीए द्वारा हस्ताक्षरित एक विशिष्ट सर्वर प्रमाणपत्र को आयात / भरोसा कर सकते हैं, जो उस प्रमाणपत्र में होस्टनाम के लिए एसएसएल चेतावनी को रोक देगा। यह आपके आवेदन को त्रुटियों या शिकायतों के बिना काम करना चाहिए।

अपवाद:

X.509v3 PKI मानक का एक बहुत ही उपयोग किया जाने वाला विकल्प नाम की कमी का विस्तार है, जो CA प्रमाणपत्र को सफेद और डोमेन नाम पैटर्न के ब्लैक लिस्ट को शामिल करने की अनुमति देता है, जिसके लिए प्रमाणपत्र जारी करने के लिए अधिकृत है।

आप भाग्यशाली हो सकते हैं और आपके ग्राहक ने खुद को संयमित किया है जब उन्होंने अपने पीकेआई बुनियादी ढांचे की स्थापना की और अपने सीए प्रमाण पत्र में उस नाम की कमी शामिल की। फिर आप उनके CA प्रमाणपत्र को सीधे आयात कर सकते हैं और जान सकते हैं कि यह केवल सीमित नामों के डोमेन नाम को ही मान्य कर सकता है।

@CryptoGuy का यहाँ बहुत अच्छा जवाब था, लेकिन मैं इस पर विस्तार करना चाहता था।

विवरण बताने के लिए:

आप 3 पार्टी CA को विश्वास प्रमाणपत्र (उस CA से) को नाम सूची में जारी कर सकते हैं जिसे आप चाहते हैं। भले ही 3rd पार्टी CA में नाम की कमी एक्सटेंशन नहीं है, लेकिन क्रॉस-प्रमाणन के माध्यम से अपने स्वयं के आंतरिक CA सर्वर का उपयोग करके उन्हें लागू करना संभव है। चाल यह है कि आप अपने आंतरिक सीए का उपयोग करके तीसरे पक्ष के सीए पर हस्ताक्षर करते हैं।

लीफ एसएसएल सर्टिफिकेट -> क्रॉस-सर्टिफिकेट -> आपका सीए सर्टिफिकेट -> आपका आंतरिक रूट सर्टिफिकेट।

और यहां बताया गया है कि आप उस कार्य को कैसे करते हैं (OpenSSL कमांड लाइन CA का उपयोग करके)

एक साधारण सीए बनाएं

openssl req -new -x509 -days 3650 -newkey rsa:2048 -sha256 -out root-ca.crt -keyout root-ca.key -subj "/CN=My Root CA"

आप एक मध्यवर्ती CA बनाना छोड़ सकते हैं

नाम की कमी के साथ एक मध्यवर्ती CA अनुरोध बनाएँ।

openssl req -new -days 3650 -newkey rsa:2048 -out domain-ca.req -sha256 -keyout domain-ca.key -config ossl_domain_com.cfg

इसके साथ ossl_domain_com.cfgफाइल में:

[ req ]
prompt=no
distinguished_name=req_distinguished_name
req_extensions=domain_ca

[ req_distinguished_name ]
CN=somedomain.com trust CA

[ domain_ca ]
basicConstraints=critical,CA:true,pathlen:1
nameConstraints=critical,permitted;DNS:.somedomain.com

फिर, अपने CA के साथ उस मध्यवर्ती डोमेन CA पर हस्ताक्षर करें।

openssl x509 -req -in domain-ca.req -CA root-ca.crt -CAkey root-ca.key -sha256 -set_serial 1 -out domain-ca.crt -extensions domain_ca -extfile ossl_domain_com.cfg

यदि आपने इंटरमीडिएट बनाना छोड़ दिया है, तो साइन करने के लिए अपने रूट CA का उपयोग करें

अब अपने प्रमाण पत्र का उपयोग करके, अपने अधिकार के तहत मूल डोमेन के सीए पर फिर से हस्ताक्षर करें। आप यहां सीए एक्सटेंशन जोड़ सकते हैं।

openssl x509 -in third_party_ca.crt -CA domain-ca.crt -CAkey domain-ca.key -set_serial 47 -sha256 -extensions domain_ca -extfile ossl_domain_com.cfg -out domain-cross-ca.crt

-x509-to-reqअनुरोध बनाने के लिए आपको तर्क का उपयोग करने की आवश्यकता हो सकती है , जिसे आप ठीक उसी तरह साइन करेंगे जिस तरह से ऊपर मध्यवर्ती है।

अब, अपने ब्राउज़र के ट्रस्ट डेटाबेस में अपना रूट CA, मध्यवर्ती CA और डोमेन-क्रॉस-सीए जोड़ें।