Самостоятельно генерить клиентские сертификаты на основании сертификата от StartSSL?

Question

[Dmitry Cidious]

Есть сайт HTTPS, работающий на бесплатном сертификате от StartSSL.
Можно ли на основании этого сертификата сгенерить клиентский сертификат для подключения к этому сайту?
Пробовал по этому руководству, но получаю ошибку ssl_error_handshake_failure_alert.

Answer 1

[Николай Корабельников]

Не совсем так. На самом деле у вас есть пара ключей. И закрытым ключом технически возможно подписать что угодно, хоть другой сертификат. Но назначение вашего ключа не подпись других ключей, а аутентификация SSL/TLS. Это указано в самом сертификате, который вы получили от УЦ.
Если бы УЦ выдал вам сертификат с назначением "подпись сертификатов" (и, желательно, "подпись CRL"), то вы бы могли подписывать другие сертификаты. Но это невозможно по понятным причинам.
Еще одно ограничение, которое не позволит вам выпускать сертификаты - длина пути валидации, которая тоже скорее всего указана в вашем сертификате (или сертификате УЦ). Выданный вами сертификат является сертификатом конечного пользователя.
УЦ выдают только такие сертификаты клиентам. В этом суть web trust.

Comments

[Dmitry Cidious]

Два вопроса:
1. Кто продаёт сертификаты с возможностью создания клиентских сертификатов (тот, который прописывается в браузере)? Помню, когда-то такое было у Гута-Банка и у Вебмани. Сейчас посмотрел у StartSSL и у Thawte, не нашёл ничего похожего.
2. Клиентский сертификат это же дополнительная безопасность в виде защиты от подложного SSL-сертификата, ведь сервер просто не отдаст контент? Или я не прав?

[Николай Корабельников]

1. Никто из "доверенных корневых" не продает такие сертификаты.
УЦ банков конечно могут быть настроены кривыми руками. В идеале они тоже должны выдавать сертификаты конечных пользователей.
2. Это называется аутентификация клиента. Без клиентского сертификата при доступе через SSL/TLS происходит аутентификация только сервера клиентом. Если же у клиента есть соответствующий сертификат и сервер настроен должным образом, то сервер так же имеет возможность аутентифицировать клиента. То есть получается двусторонняя аутентификация. Надеюсь, понятно получилось объяснить. Если что - обращайтесь.

Answer 2

[Dmitry Cidious]

Отвечу сам себе.
Насколько я понял, чтобы сгенерить клиентский сертификат x509, надо подписать клиентский ключ СА-шным закрытым ключом.
Т.к. центр авторизации мне даёт только доменный сертификат и открытый СА-сертификат, а свой закрытый ключ не отдаст, то и создать клиентский сертификат на основании валидного доменного сертификата может только центр.
Мне остается довольствоваться схемой самоподписанных объектов.

Поправьте, если я не прав.

Comments

[ZmeY]

а свой закрытый ключ (который идет в комплекте с бесплатным сертификатом от StartSSL) для этого не подойдет?

[ZmeY]

ZmeY: попробовал - не прокатило ((

[Dmitry Cidious]

ZmeY: ошибка handshake_failure выскочила именно на такой конфигурации.