포트 443을 통해 SSL / TLS 웹 페이지를 제공하는 Windows 컴퓨터에서 방문하는 웹 브라우저에 작은 프로그램을 작성했습니다. 비전문가가이 프로그램을 설치하고 실행하기 쉽기를 바랍니다. 프로그램에서 자체 서명 인증서 또는 인증서 서명 요청을 쉽게 만들 수 있지만 CSR을 서명하고 서버를 가리키는 도메인 이름에 연결하는 데 어려움을 겪고 있다고 생각합니다. 이 프로세스의 기술적 어려움을 최소화하고 싶습니다.
도메인 이름의 하위 도메인에 대한 인증서에 서명 할 수있는 SSL 인증서를 구매할 수 있습니까? customer1.mydomain.com, customer2.mydomain.com 등과 같은 것이 있으면 DNS 하위 도메인을 서버로 지정하고 인증서를 서명하고 전체 프로세스를 자동화 할 수 있습니다. 아니면 아마도 매우 비쌀까요?
그렇지 않은 경우, * .mydomain.com 인증서를 사용하여 모든 웹 응용 프로그램을 내 서버에 호스팅하는 것 외에 SSL 인증서 및 도메인 이름을 설정하기 위해 제공 할 수있는 가장 간단한 솔루션은 무엇입니까?
답변
StartCom에는 중간 인증 기관 프로그램이 있습니다. 링크 된 사이트에 따르면이 프로그램은 1,000 개 이상의 인증서를 발행하는 사람들을위한 것이며 평균 비용은 발급 된 인증 서당 약 $ 2입니다.
답변
슬픈 사실은 RFC 2459 섹션 4.2.1.11에 정의 된 x.509 이름 제한 allowedSubtrees 속성을 사용하여 기술적으로 가능 하지만 그러한 인증서를 제공하려는 CA는 거의 없습니다.
그러한 인증서를 한 번 판매하는 것이 호스트 당 인증서를 여러 번 판매하는 것만 큼 좋지 않다는 생각으로 일부 사람들은 그렇게하지 않을 것입니다.
일부는 자체 발생 뇌파 규제 요건 또는 외부 당사자의 요건으로 인한 것이 아닙니다.
국가 연구 네트워크를 위해 중간 CA에 서명 한 대형 통신 사업자의 인증서 체인에 대한 매우 슬픈 이야기가 있습니다. 이 아직 매우 슬픈 소리를하지 않지만, 상기 통신 제공 업체에서 용감한 사람과 슬픔의 시작은 인증서와 모질라 파이어 폭스에 포함 신뢰 체인을 얻기 위해 노력 – 그것은 4 토론, 논평, 오해의 년 전에 더 많은 토론을했다 마침내 포함되었습니다.
구입할 수있는 것은 대부분 CA 인터페이스를 사용하여 원하는대로 새 인증서를 작성하는 “관리 서비스”입니다. 물론 이것은 일반적으로 사전에 많은 비용이 들며 발행 된 모든 인증서에 대해 추가 비용이 청구될 수 있습니다.
답변
의도 한 문제는 기본 CA (Verisign, Thawte 등)가 하위 CA (찾고있는 것)가 특정 도메인에 대해서만 인증서를 할당하거나 유효한 도메인을 제한하도록 제한 할 수있는 방법이 없다는 것입니다 . 유효한 루트에 연결되는 하위 CA는 전체 인터넷에 대한 인증서를 만들 수 있습니다. 그렇기 때문에 자신이 만든 루트 CA 외에 다른 사람으로부터 하위 CA 인증서를 얻을 수 없습니다.
대규모 인증서 공급 업체 중 하나의 와일드 카트 인증서 없이는 원하는 것을 수행 할 수 없습니다. 하위 CA 인증서와 달리 구매할 수 있습니다.