Comment la chaîne d'un certificat SSL
Est-il possible de la chaîne de notre propre généré paire de clés avec un certificat existant qui a été enchaîné à une autorité de certification racine (par exemple: verisign)? Fondamentalement, ma question est décrite dans le schéma ci-dessous
Verisign Root CA
|
--> Company XYZ certificate
|
---> Server foo certificate
Une fois que j'ai généré une paire de clés pour le serveur foo, comment dois-je de la chaîne avec la Société XYZ cert?
- Non, vous ne pouvez pas faire cela. Verisign et d'autre de la racine de l'autorité de certification ne délivre pas de certificats pour le grand public qui peut créer d'autres certs - ce serait briser le point de l'ensemble de la racine d'un cert confiance.
- Il n'y a pas de raison technique pour laquelle une autorité de certification commerciale ne devrait pas signer le certificat racine de, disons, une autorité de certification d'entreprise, de sorte que l'entreprise peut émettre ses propres certificats. Ce certificat devra avoir de la bonne utilisation des attributs de la clé de signature. L'entreprise de certificats de confiance parce que son certificat d'AC a été signé par l'autorité de certification commerciale. C'est exactement la façon dont l'infrastructure de la chaîne de confiance est censé fonctionner. Il y a, toutefois, les raisons pour lesquelles cela est rarement fait (beaucoup de l'identité certs faire plus d'argent que l'une des clés de signature de cert).
Vous devez vous connecter pour publier un commentaire.
Si l'Entreprise XYZ a un Certificat Intermédiaire De L'Autorité certificat puis vous pouvez. Ce type de certificats sont autorisés par l'autorité de certification racine d'émettre de nouveaux certificats et de ce fait est déterminé au moment de la création par des propriétés spécifiques (Contraintes de Base, Utilisation de la Clé, Renforcée d'Utilisation de la Clé).
Mais si l'Entreprise XYZ a régulièrement un certificat, utilisé par exemple pour identifier les sites web, e-mail des utilisateurs ou développeurs de logiciels, il n'est pas possible. Même la pensée, dans la pratique, rien ne vous empêche de créer un nouveau certificat et de la signature par un autre (si vous en avez la clé privée), je ne pense pas que vous allez obtenir un certificat valide.
Donc, si vous avez le bon type de certificat, vous devrez signer foo avec elle. Vous pouvez utiliser makecert ou open ssl pour la création d'un nouveau Certificat X509. Par exemple:
makecert -pe -n "CN=foo" -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.1 -in "Company XYZ" -is my -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -ss my -sr LocalMachine
Vous aurez besoin d'avoir le certificat de la Société XYZ installé dans l'Ordinateur Local/Personnels emplacement dans le Magasin de Certificats Windows. Le certificat obtenu sera ajouté dans le même endroit et vous serez en mesure d'exporter dans différents formats (.pfx, .cer, .p7b). Aussi cela crée une paire de clés pour le nouveau certificat.
Si vous avez deux certificats, tentez de concaténer les fichiers de certificat. Si non, veuillez réviser vos questions afin de nous savoir où vous en êtes dans le processus.
Si vous êtes installation sur un serveur Apache, regardez mod_ssl est SSLCertificateChainFile directive.