Posso creare un certificato SSL su Windows firmato con il certificato della macchina?

1

Da MMC > Certificati Posso vedere che esiste un certificato per la macchina corrente in 'Autorità di certificazione radice affidabile > Certficates'. per esempio. sulla mia workstation chiamata 'RoryWorkstation1' è presente un certificato chiamato 'RoryWorkstation1' elencato insieme a quelli normali come Baltimore, Microsoft Root Authority, Thawte, Verisign, ecc. Posso usare questo certificato macchina per generare un certificato SSL che posso usare su la macchina locale? Chiaramente ci si può fidare solo della macchina locale, ma per esempio sarò in grado di fare richieste a https://localhost e il browser la tratterà come attendibile.

Preferirei farlo piuttosto che creare un certificato autofirmato e aggiungerlo all'archivio poiché lo aggiunge a un archivio di certificati validi a livello di macchina, quindi sta cambiando lo stato della macchina. Sto pensando di farlo nel software in esecuzione come servizio Windows sulla macchina e preferirei non modificare gli archivi certificati perché ciò sembra più intrusivo e c'è la possibilità che possa essere sovrascritto da Criteri di gruppo o simili. La generazione di un certificato che posso quindi utilizzare solo sulla macchina significa che non sto cambiando lo stato della macchina stessa. Significherebbe che alla fine avrò un certificato che posso usare solo all'interno del software in esecuzione sulla macchina.

Nel mio caso la ragione per cui voglio essere in grado di fare richieste https a https://localhost senza colpire errori di certificato. Potrei usare un altro nome di dominio e usare il file HOSTS per puntare su 127.0.0.1 ma questo potrebbe avere problemi con i server proxy e in genere sembra meno trasparente di trovare un modo per far funzionare https://localhost .

    
posta Rory 13.01.2015 - 12:17
fonte

1 risposta

4

No, non hai la chiave privata per quella radice per firmare i certificati.

Tuttavia, come suggerito da Julian, è possibile generare il proprio certificato autofirmato e aggiungerlo al proprio negozio di fiducia.

Supponendo che tu stia utilizzando Windows, questo è il modo in cui lo aggiungi all'archivio di fiducia: link

Ecco come è possibile generare un certificato autofirmato tramite IIS7: link

Ecco come è possibile generare un certificato autofirmato tramite OpenSSL: link

Hai controllato con il tuo dipartimento IT per informarti su un'autorità di certificazione interna? Se ce n'è uno, puoi emettere un certificato SSL firmato dalla CA della tua azienda.

    
risposta data 13.01.2015 - 15:53
fonte

Leggi altre domande sui tag