I credo Capisco come funziona OpenSSL, e credo ho un buon piano di gioco per configurare un server SSL sulla mia rete privata, ma prima di passare il processo di download e configurazione di tutti i software necessari, volevo pubblicare questa domanda come controllo di integrità.
Per favore correggimi se uno dei seguenti non è vero:
- OpenSSL è una libreria compilata (probabilmente C / C ++) che posso scaricare sul mio server linux; mi fornirà quindi strumenti da riga di comando che posso chiamare da applicazioni esterne o direttamente al terminale
- Java
keytoolpuò essere utilizzato per generare CSR e chiavi private che saranno necessarie per OpenSSL - Per ottenere un certificato SSL tramite OpenSSL, inizio usando
keytoolper generare il CSR, quindi, in qualche modo (probabilmente come argomento?), trasferisco il CSR a OpenSSL attraverso l'interfaccia della riga di comando
Di nuovo, se qualcuno di questi è falso, per favore inizia correggendomi!
Ora, supponendo che io sia sulla strada giusta, ho una preoccupazione importante con questo metodo:
Anche se un'opzione gratuita, non significa che nessun browser Web che tenta di connettersi al mio server tramite HTTPS non riconoscerebbe il mio certificato CA e lanciò un brutto messaggio di avviso ai miei utenti finali?
In caso contrario, si prega di spiegare perché. Se è così, allora una soluzione che speravo di esplorare era una situazione in cui compro il mio certificato SSL primario da un fornitore commerciale (Verisign, Trustwave, GeoTrust, chiunque) e poi in qualche modo uso OpenSSL per "ramificarmi" da quel certificato per tutti i miei sottodomini.
L'obiettivo qui è quello di ottenere diversi certificati SSL a buon mercato, ma mantenerli sempre autentici e quindi fidati dai browser dei miei utenti finali.
Qualche possibilità questa è una possibilità o dovrò passare attraverso un venditore commerciale?