署名された中間証明書を介して自分の信頼できるCAになれますか？

ルートCAから証明書を取得して、それを使用して自分のWebサーバー証明書に署名できますか？可能であれば、他の証明書に署名するための中間証明書として署名済み証明書を使用します。

クライアントに信頼チェーンに関する情報を提供するために、「私の」中間証明書を使用して特定の方法でシステムを構成する必要があることを知っています。

これは可能ですか？ルートCAは、このような証明書に署名してもらえますか？高いですか？

バックグラウンド

HTTPを介したWebトラフィックの保護に関連するSSLの基本に精通しています。また、ブラウザによって決定されるように、ルートCAに至るまで有効なチェーンを持つ証明書で暗号化すると、Webトラフィックが「デフォルトで」保護されるという点で、信頼チェーンの仕組みの基本的な理解もあります。 / OSベンダー。

また、ルートCAの多くが、中間証明書を使用して（私のような）エンドユーザーの証明書に署名し始めたことを認識しています。それには私の側でもう少しセットアップが必要かもしれませんが、そうでなければ、それらの証明書は問題なく動作します。これは、CAにとって非常に価値のある秘密鍵と、私が危うくなった場合の災害に関係していると思います。

例

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

今、私たちはこれらの組織の規模ではないことは間違いありませんが、彼らはこのようなことをしているようです。特に、eコマースプラットフォームのリーチを拡大する1つの方法を考えると、これらの証明書の管理がはるかに魅力的なものになります。

あなたの質問は、私と他の人々に「任意のインターネットユーザーに信頼されている組織の内外のエンティティに証明書を発行するにはどうすればいいですか？」

それがあなたの質問であれば、答えは「あなたはしません。」です。そうでない場合は、明確にしてください。

また、「Windows Server 2008 PKIと証明書セキュリティ（Brian Komar著）」を読んで、アプリケーションのさまざまなPKIシナリオをすべて検討することをお勧めします。本から何かを引き出すためにMicrosoftのCAを使用する必要はありません。

簡単に検索すると、そのようなものが存在することがわかりますが、「見積もりについてはお問い合わせください」では、安くはないことが示唆されています。

https://www.globalsign.com/en/certificate-authority-root-signing/

私は会社について何も主張していませんが、そのページは同じことをしている他の会社を見つけるために使用する条件をあなたに与えるかもしれません。

これを行うことができた場合、Joe Malwareがwww.microsoft.comの証明書を発行し、DNSハイジャックを介して彼自身の「特別な」ブランドの更新を提供するのを防ぐにはどうすればよいでしょうか。

FWIW、MicrosoftがOSにルート証明書を含める方法は次のとおりです。

http://technet.microsoft.com/en-us/library/cc751157.aspx

要件は非常に急です。

これは基本的にそのルートCAの再販業者になることと見分けがつかないため、ほぼ確実に多大な労力と費用がかかります。これは、Timが指摘しているように、任意のドメインに対して有効な証明書を作成できるためです。そのドメインを制御しない限り、許可することはできません。

別の方法として、RapidSSLのリセラープログラムがあります。このプログラムでは、ルートCAからすべてのハードワークと発行を行います。

次の2つの質問を自問してください。

1. ユーザーがWebブラウザにルート証明書を適切にインポートすることを信頼していますか？
2. 既存のルートCAと提携するためのリソースはありますか？

答えが1の場合は、CAcertが問題を解決しました。2の答えが「はい」の場合、OpenSSL、Firefox、IE、およびSafariに同梱されている信頼できるルート証明書のリストを調べて、中間証明書に署名するための証明書を見つけます。

CAからワイルドカード証明書を取得することをお勧めします。これにより、プライマリドメインのサブドメインで同じ証明書を使用できますが、他の証明書を発行することはできません。

ルートCAが証明書を発行することにより、特定のドメインでのみ他の証明書を発行することができます。basicConstraints / CA：trueおよびnameConstraints / permitted; DNS.0 = example.comを設定する必要があります

その後、自由に独自のCAを実行し、test.example.com（test.foobar.comではない）のような証明書を発行します。この証明書は、パブリックWebによって信頼されます。このサービスを提供するルートCAを知りませんが、実際に可能です。誰かがそのようなプロバイダーにつまずいたら、私に知らせてください。

Joe Hからのリンクに加えて、実際に機能するリンクを次に示します。

https://www.globalsign.com/en/certificate-authority-root-signing/

CAルート署名は安価ではありませんが、それらは大企業向けに存在します。

私はこれが古い投稿であることを知っていますが、私はこれとほとんど同じものを長く探していました。他のいくつかの投稿からエコーします...それは可能です...すべてそれは非常に高価で、確立するのが難しいです。この記事は、「誰がやるのか」と「何が関係するのか」という点で少し役立ちます。

https://aboutssl.org/types-of-root-signing-certificates/

いくつかの散在する情報源から拾ったいくつかのエクストラについては...要件のいくつかは「実質的な公平性」と「保険」を持っています...それらは$ 1Mから$ 5Mのどこかにリストされていることがわかりましたソースに応じて。言うまでもなく、これは中小企業の選択肢ではありません。

さらに、すべての要件を満たし、すべての監査フープをジャンプするには通常1年近くかかるという投稿を見てきました。さらに、プロセス全体に関連する付随的な費用は、一般的な請負業者+法律+労務費、および監査の実施回数に応じて、10万ドルから100万ドルの範囲になります。だから、再び、中小企業のためのベンチャーではありません。