Wie Kette ein SSL-Zertifikat
Gibt es eine Möglichkeit, können wir die Kette unserer eigenen generierten Schlüsselpaar mit einem vorhandenen Zertifikat wurde angekettet an einer root-ZERTIFIZIERUNGSSTELLE (z.B.: verisign)? Im Grunde ist meine Frage beschrieben im Diagramm unten
Verisign Root CA
|
--> Company XYZ certificate
|
---> Server foo certificate
Habe ich einmal generiertes Schlüsselpaar für server-foo, wie kann ich die Kette mit Firma XYZ-cert?
Nein, Sie können das nicht tun. Verisign und andere root-CA " don ' T Ausgabe certs für die Allgemeine öffentlichkeit erstellen kann, anderen certs - diese brechen würde das ganze point des root-cert Vertrauen.
Es gibt keinen technischen Grund, warum eine kommerzielle ZERTIFIZIERUNGSSTELLE sollte sich nicht anmelden, das root-Zertifikat von, sagen wir, eine enterprise-ZERTIFIZIERUNGSSTELLE so, dass das Unternehmen könnte seine eigenen Zertifikate. So ein Zertifikat braucht, um die korrekte Verwendung der Attribute zur key-signing. Die enterprise-Zertifikate wäre vertrauenswürdig, da sein CA-Zertifikat signiert wurde durch die kommerzielle ZERTIFIZIERUNGSSTELLE. Das ist genau, wie die PKI-chain-of-trust funktionieren soll. Es gibt jedoch kommerzielle Gründe, warum dies selten getan (viele von Identität APZ machen mehr Geld, als eine key-signing-cert).
Es gibt keinen technischen Grund, warum eine kommerzielle ZERTIFIZIERUNGSSTELLE sollte sich nicht anmelden, das root-Zertifikat von, sagen wir, eine enterprise-ZERTIFIZIERUNGSSTELLE so, dass das Unternehmen könnte seine eigenen Zertifikate. So ein Zertifikat braucht, um die korrekte Verwendung der Attribute zur key-signing. Die enterprise-Zertifikate wäre vertrauenswürdig, da sein CA-Zertifikat signiert wurde durch die kommerzielle ZERTIFIZIERUNGSSTELLE. Das ist genau, wie die PKI-chain-of-trust funktionieren soll. Es gibt jedoch kommerzielle Gründe, warum dies selten getan (viele von Identität APZ machen mehr Geld, als eine key-signing-cert).
InformationsquelleAutor gerrytan | 2010-10-22
Du musst angemeldet sein, um einen Kommentar abzugeben.
Wenn die Firma XYZ hat eine Intermediate Certificate Authority Zertifikat dann können Sie. Diese Art der Zertifikate sind berechtigt, die durch die root-CA für die Ausgabe neuer Zertifikate, und diese Tatsache ist bestimmt bei der Erstellung von spezifischen Eigenschaften (Basic Constraints Key Usage, Erweiterte Schlüsselverwendung).
Aber wenn die Firma XYZ hat eine regelmäßige Zertifikat, zum Beispiel zum identifizieren von websites, E-Mail-Benutzer oder software-Entwickler sind, ist es nicht möglich. Dachte sogar, dass in der Praxis nichts hält Sie von der Erstellung eines neuen Zertifikats und signieren Sie es mit einem anderen (wenn Sie es den privaten Schlüssel), ich glaube nicht, dass Sie erhalten ein gültiges Zertifikat.
Also, wenn Sie die richtige Art von Zertifikat, das Sie Unterschreiben müssen, foo. Sie können makecert oder open ssl für die Erstellung eines neuen X509-Zertifikat. Zum Beispiel:
makecert -pe -n "CN=foo" -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.1 -in "Company XYZ" -is my -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -ss my -sr LocalMachine
Müssen Sie das Zertifikat für die Firma XYZ installiert auf dem Lokalen Computer/Persönlichen Standort im Windows-Zertifikatspeicher. Die daraus resultierende Zertifikat Hinzugefügt werden, an der gleichen Stelle, und Sie werden in der Lage sein zu exportieren von dort aus in verschiedene Formate (.pfx, .cer, .p7b). Auch das erzeugt das Schlüsselpaar für das neue Zertifikat.
InformationsquelleAutor andrei m
Wenn Sie beide Zertifikate, versuchen die Verkettung der Zertifikat-Dateien. Wenn nicht, bitte überarbeiten Sie Ihre Frage, damit wir wissen, wo Sie in den Prozess.
Wenn Sie es einrichten auf einem Apache-server, Blick auf mod_ssl ist SSLCertificateChainFile Richtlinie.
InformationsquelleAutor Mike DeSimone