独自のExtended Validation SSL証明書を作成できますか?


34

独自のCAで作成し、この方法で自己署名SSL証明書を生成できます。しかし、ブラウザに証明書を「拡張検証SSL証明書」として表示させるには何が必要ですか?

自分で作成して、ブラウザにEVとして表示するように教えることはできますか?


あなたはこれを見てみるかもしれません:blog.sidstamm.com/2009/04/roll-your-own-ev.html
ニック

回答:


35

EV SSL証明書が機能する方法は、証明書の証明書ポリシー拡張フィールド(それ以外は標準のX.509証明書)に機関固有のOIDを貼り付けることです。

EKが言ったように、各機関の参照OIDは、ブラウザーの証明書のルートストアの一部として出荷されます。ユーザーインターフェイスでは、新しいCAを追加して「これはEV対応CAであり、UIDはabcdefです」と言うことはできません。

ソースからオープンソースのブラウザを構築し、独自のCAの証明書とそのEV oidをルートストアに追加することは可能かもしれませんが、実際にはそれほど多くのことを達成していません。ブラウザは、CA / BrowserフォーラムのEVガイドライン(EV対応機関を制限する)に準拠しなくなります。

ウィキペディアには、EV証明書に関する詳細があります:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate


2

いいえ、できません。これらの信頼されたルートはブラウザ内で修正されます


3
つまり、ブラウザーを変更する必要があります。彼は、「ブラウザをEVとして表示するように教える」ことができるかどうかを具体的に尋ねました。FireFoxまたはソースが利用可能な別のブラウザであれば、彼はできます。
デビッドシュワルツ

1
彼は実際に「ブラウザを教えてもいいですか」と言っていましたが、EVとして自分の証明書を見るのはまったく無意味です。したがって、私の答えの目的は、つまらないものよりも実用的なものにすることでした。あなたが本当にうるさくなりたいなら、ソースからまったく新しいブラウザをコンパイルしても既存のブラウザを教えていないので、私の答えはまだ正しいです。:P
JamesRyan

5
私はそれが無意味であることに同意しません。たとえば、組織では、すべての内部サイトが認識されるように、すべてのブラウザーに配置するとよいでしょう。
いくつか

そのためにEV証明書が必要なのはなぜですか?これはすべての証明書を網羅しているわけではないことを忘れないでください。EV以外の証明書の信頼できるルートを追加することもできます。
ジェームズライアン14

彼らはそうであり、そうではありません。信頼できるルート認証局ストアから証明書をいつでもインポートおよび削除できます。組織のドメイン管理者として、ポリシーを介して管理対象ユーザーにルート証明書をプッシュすることで、ブラウザーが内部サーバー用に生成した証明書を信頼できるようにします。私、ユーザーが証明書に「EV」レベルの検証を表示できるように、内部証明書に署名する方法を知りたいと思っています。誰かがそれをするために何をする必要があるか教えてくれたらいいのにと思う。
エリック
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.