Metodi per la firma immediata del certificato

Naviga le tue risposte
2

Sono un principiante assoluto nel processo di generazione di certificati CSR e certificati. Indica quindi con gentilezza qualsiasi ovvia stupidità nella domanda.

È possibile automatizzare completamente il processo di generazione di CSR + la firma del certificato da parte di una CA e l'installazione del certificato firmato con? Dal mio punto di vista di base, credo che la sottoscrizione CSR e la firma del certificato da parte della CA abbia un tempo di risposta per il numero di giorni e richiederebbe anche un intervento manuale. Qualcuno è riuscito ad automatizzare quel passo? Le CA espongono la firma come servizio Web?

    
posta Krishter 07.05.2015 - 18:36
fonte

3 risposte

1

Mentre ci penso, posso ora rispondere definitivamente che alcune CA offrono l'API Web che consente di automatizzare parte o tutto la generazione / firma del certificato.

Alcuni esempi concreti di questo sono Digicert , GlobalSign , Gandi .

Alcune altre CA potrebbero pertanto offrire gli stessi servizi, tuttavia è necessario controllare:

  • Le funzionalità disponibili, non tutte le funzioni disponibili dall'interfaccia grafica grafica possono essere disponibili dall'API Web,
  • Anche questa potrebbe essere un'opzione a pagamento. Una chiave API è sempre richiesta per tale operazione e ottenere tale chiave potrebbe essere soggetta ad alcune commissioni.
risposta data 07.05.2015 - 19:32
fonte
0

Forse rilevante è Impostazione dell'autorità di certificazione OpenSSL . Lo uso sempre negli ambienti di sviluppo, ma si tratta di una CA completamente inaffidabile. D'altra parte, significa che gli sviluppatori che hanno bisogno di certs per il test possono ottenerli immediatamente. Ho persino un front-end Web e uno script per un OCSP, anche perché sono utili per i test.

Ma questo non aiuta se vuoi i certificati affidabili . La CA ha un processo per convalidare le cose che stanno per firmare. Il processo potrebbe avere componenti automatizzati, ma alla fine devono impiegare abbastanza tempo per convalidare chi si asserisce nella richiesta di firma, oppure essere esattamente utile quanto la mia piccola CA di sviluppo.

    
risposta data 07.05.2015 - 22:30
fonte
0

Il motivo per cui questo non è solitamente completamente automatizzato è che le CA vogliono proteggere la propria reputazione e assicurarsi che la persona a cui rilasciano la cert sia l'effettivo proprietario del dominio (spesso parlando al telefono con il richiedente) . Ci sono diversi livelli di validazione / controllo di background che una CA può eseguire durante l'emissione, i due principali sono Domain Validated (DV) e Extended Validation (EV) per i certificati SSL. Se tu (e i tuoi clienti) stai bene con la sicurezza inferiore, la convalida del certificato DV potrebbe essere completamente automatizzata, ma non sono a conoscenza di ciò che attualmente fa, motivo per cui Leps Encrypt sta facendo ondate.

    
risposta data 07.05.2015 - 19:43
fonte

Leggi altre domande sui tag

Come viene composto "chiave e certificati dell'host pubblico (K_S)" nel messaggio SSH_MSG_KEX_DH_GEX_REPLY? (Scambio di chiavi SSH2) Autenticazione client SSL / TLS - Pratica validazione del cert client