24 votes

Ben Mosher avatar

Puis-je être ma propre autorité de certification de confiance via un certificat intermédiaire signé ?

Demandé el 27 de Août, 2009
Quand la question a-t-elle été
19114 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Puis-je obtenir un certificat d'une autorité de certification racine que je peux ensuite utiliser pour signer mes propres certificats de serveur Web ? Je voudrais, si possible, utiliser un certificat signé comme intermédiaire pour signer d'autres certificats.

Je sais que je devrais configurer mes systèmes d'une certaine manière avec "mon" certificat intermédiaire afin de fournir des informations sur la chaîne de confiance à mes clients.

Est-ce possible ? Les autorités de certification racine sont-elles disposées à signer un tel certificat ? Est-ce que cela coûte cher ?

CONTEXTE

Je connais les principes de base de SSL en ce qui concerne la sécurisation du trafic Web via HTTP. J'ai également une compréhension de base du fonctionnement de la chaîne de confiance, en ce sens que le trafic Web est sécurisé "par défaut" si vous cryptez avec un certificat dont la chaîne valide remonte jusqu'à une autorité de certification racine, déterminée par le fournisseur du navigateur/système d'exploitation.

Je sais également que de nombreuses autorités de certification racines ont commencé à signer des certificats pour les utilisateurs finaux (comme moi) avec des certificats intermédiaires. Cela peut nécessiter un peu plus de configuration de ma part, mais sinon, ces certificats fonctionneront parfaitement. Je suppose que cela a à voir avec la protection de leur précieuse clé privée pour l'AC et le désastre que cela représenterait si elle était compromise.

EXEMPLES

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Nous n'avons certainement pas la taille de ces organisations, mais elles semblent faire quelque chose comme ça. Cela rendrait certainement la gestion de ces certificats beaucoup plus acceptable, surtout si l'on considère que c'est une façon d'étendre la portée de notre plateforme de commerce électronique.

Demandé el 27 de Août, 2009 par Ben Mosher

Réponses

Trop de publicités?

10voto

Joe H. avatar
Joe H. Points 1887

Une recherche rapide montre que de telles choses existent, mais le message "contactez-nous pour un devis" suggère que ce ne sera pas bon marché :

https://www.globalsign.com/en/certificate-authority-root-signing/

Je ne fais aucune déclaration au sujet de la société, mais cette page peut vous donner des termes à utiliser pour trouver d'autres sociétés qui font la même chose.

Répondu el 27 de Août, 2009 par Joe H. (1887 Points )

9voto

duffbeer703 avatar
duffbeer703 Points 19867

Votre question se lit, pour moi et pour d'autres, comme suit : "Comment puis-je émettre des certificats à des entités à l'intérieur et à l'extérieur de mon organisation qui sont reconnus par des utilisateurs Internet arbitraires ?"

Si c'est votre question, la réponse est "Vous ne le savez pas". Si ce n'est pas le cas, veuillez clarifier.

Je vous recommande également de lire "Windows Server 2008 PKI and Certificate Security by Brian Komar" et d'envisager tous les différents scénarios PKI pour vos applications. Vous n'avez pas besoin d'utiliser l'autorité de certification de Microsoft pour tirer profit de ce livre.

Répondu el 27 de Août, 2009 par duffbeer703 (19867 Points )

4voto

Jonas Bjork avatar
Jonas Bjork Points 366

Il est possible pour une AC racine d'émettre un certificat qui permet d'émettre d'autres certificats, mais uniquement sous un domaine spécifique. Elle doit définir Contraintes de base/CA:true y nomConstraints/permis;DNS.0=exemple.com

Ensuite, vous êtes libre de gérer votre propre autorité de certification et d'émettre des certificats comme les suivants test.exemple.com (mais pas test.foobar.com ) qui, à leur tour, feront l'objet de la confiance du web public. Je ne connais pas d'autorité de certification racine qui offre ce service, mais c'est effectivement possible. Si quelqu'un tombe sur un tel fournisseur, faites-le moi savoir.

Répondu el 14 de Juin, 2018 par Jonas Bjork (366 Points )

3voto

Tim Howland avatar
Tim Howland Points 4638

Si vous pouviez faire cela, qu'est-ce qui empêcherait Joe Malware d'émettre un certificat pour www.microsoft.com et de vous donner sa propre marque "spéciale" de mises à jour par le biais d'un détournement de DNS ?

Pour information, voici comment faire en sorte que votre certificat racine soit inclus par Microsoft dans le système d'exploitation :

http://technet.microsoft.com/en-us/library/cc751157.aspx

Les exigences sont assez strictes.

Répondu el 27 de Août, 2009 par Tim Howland (4638 Points )

2voto

Gibbons avatar
Gibbons Points 101

Cela revient à devenir un revendeur de cette autorité de certification racine, ce qui coûte très certainement beaucoup d'efforts et d'argent. En effet, comme le note Tim, vous pouvez créer un certificat valide pour n'importe quel domaine, ce qui ne devrait pas être autorisé à moins que vous ne contrôliez ce domaine.

Une alternative est Le programme de revendeurs de RapidSSL dans lequel ils font tout le travail et émettent à partir de leur CA racine.

Répondu el 27 de Août, 2009 par Gibbons (101 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X