Crea un certificato SSL e firmalo con un certificato personale che a sua volta è firmato dall'autorità di certificazione [duplicato]

3

Ho un certificato personale che è firmato da un'autorità di certificazione. Questo certificato è illimitato rispetto ai suoi scopi consentiti. È possibile creare un certificato server SSL da solo e firmarlo con il mio certificato personale?

Supponiamo che l'autorità di certificazione radice appartenga a quelle attendibili di quelle installate in un browser web. Supponiamo inoltre che non ci siano altri avvisi ad es. avvisi di timestamp. Il browser mostrerà il "bulp verde" anche quando la "catena di fiducia" ha quattro o più istanze?

Quali strumenti sarebbero appropriati per creare un tale certificato?

C'è un'altra domanda Che tipo di certificato ho bisogno per poter firmare il mio certificato di sottodominio . Questa domanda si concentra principalmente sui certificati con caratteri jolly e su come identificare in modo univoco più sottodomini all'interno dello stesso dominio. Al contrario, chiedo il prerequisito che deve avere un certificato personale e uno strumento per creare un certificato server SSL firmato da questo certificato personale. La domanda sui certificati di sottodominio non ha risposte che facciano riferimento a questi aspetti fino ad oggi.

Grazie

    
posta Claude 14.03.2013 - 15:44
fonte

2 risposte

10

Dipende dal valore del campo Certificate Basic Constraints del certificato. Molto probabilmente sarà Is not a Certification Authority . Tuttavia, è possibile ottenere un certificato di tipo CA che può emettere più certificati. Le CA principali (livello superiore) hanno certificati con il valore di Certificate Basic Constraints del modulo

Is a Certification Authority
Maximum number of intermediate CAs: unlimited

A volte, vedi i certificati del modulo

Is a Certification Authority
Maximum number of intermediate CAs: 0

che significa che possono emettere certificati, ma non possono emettere certificati che possono emettere certificati. In altre parole, possono emettere solo certificati del tipo Is not a Certification Authority . Ad esempio, Google firma ciascuno dei suoi sottodomini separatamente utilizzando tale certificato.

Puoi anche trovare

Is a Certification Authority
Maximum number of intermediate CAs: 1

che significa che possono emettere certificati di Is not a Certification Authority e certificati del tipo Maximum number of intermediate CAs: 0 .

Verifica con la tua CA se puoi ottenere un certificato di Is a Certification Authority .

    
risposta data 14.03.2013 - 16:06
fonte
2

Sì, il numero di "hop" nella catena di trust non è rilevante, ma il tag sul certificato che indica che questo certificato è autorizzato a firmare altri certificati è importante.

Per l'impostazione, ti consiglio OpenSSL. Vedi Creazione di un certificato di autorità SSL per un esempio su come fare esso.

    
risposta data 14.03.2013 - 16:54
fonte

Leggi altre domande sui tag