从通常可信的证书创建我自己的中级授权
问题描述:
我有一个简单的问题(也许是愚蠢的),我没有找到任何明确的答案。如果我从我的服务器(例如web)获得来自受信任签署公司的证书(比如verisign ...),我将拥有私钥公钥。有了这个证书,我可以建立我自己的中间CA并签署证书请求,并且每个人都信任(我知道这不应该是..)?我真正的问题是:什么会阻止我颁发证书以及公司如何保证没有人会这样做?从通常可信的证书创建我自己的中级授权
预先感谢!
答
您没有为证书发布支付授权或其他证书组织,但是对于证书验证,如果您的证书有效或没有过期,并且您的证书有效且未过期,并且您的证书有效联系信息按要求。
不幸的是,这是你必须忍受它,并支付他们,如果你真的需要SSL在您的网站。
我已经为我的局域网服务器使用了自制证书,当我访问这个https站点时,一个大红色的警告通知我这个站点是恶意的并且它没有有效的证书。这并不妨碍我,但我相信如果他们看到如此大胆的警告突然出现在他们的浏览器上,我的所有客户都会解雇他。
你能做什么?它是公司的世界
答
为您的网站颁发的证书适用于SSL/TLS,并且不适用于颁发其他证书(密钥用法字段不同)。因此,虽然技术上可以使用您的CA作为另一个证书生成证书,但这样生成的证书不会被适当实施和配置的验证器(检查密钥使用情况的验证器)信任。
非常感谢!是否有特定的认证/标准来确保客户/验证人阅读此“关键用法”扩展? – user2216188 2013-03-27 15:57:33
@ user2216188,[RFC 5280](http://tools.ietf.org/html/rfc5280)(或3280)可能是您正在查找的规范。要成为CA证书,这不仅仅是关键用法,也是“基本约束”。 – Bruno 2013-03-27 17:11:56