Самостоятельно генерить клиентские сертификаты на основании сертификата от StartSSL?

Есть сайт HTTPS, работающий на бесплатном сертификате от StartSSL.
Можно ли на основании этого сертификата сгенерить клиентский сертификат для подключения к этому сайту?
Пробовал по этому руководству, но получаю ошибку ssl_error_handshake_failure_alert.
  • Вопрос задан
  • 2896 просмотров
Пригласить эксперта
Ответы на вопрос 2
nmk2002
@nmk2002
работаю в ИБ
Не совсем так. На самом деле у вас есть пара ключей. И закрытым ключом технически возможно подписать что угодно, хоть другой сертификат. Но назначение вашего ключа не подпись других ключей, а аутентификация SSL/TLS. Это указано в самом сертификате, который вы получили от УЦ.
Если бы УЦ выдал вам сертификат с назначением "подпись сертификатов" (и, желательно, "подпись CRL"), то вы бы могли подписывать другие сертификаты. Но это невозможно по понятным причинам.
Еще одно ограничение, которое не позволит вам выпускать сертификаты - длина пути валидации, которая тоже скорее всего указана в вашем сертификате (или сертификате УЦ). Выданный вами сертификат является сертификатом конечного пользователя.
УЦ выдают только такие сертификаты клиентам. В этом суть web trust.
Ответ написан
cidious
@cidious Автор вопроса
Отвечу сам себе.
Насколько я понял, чтобы сгенерить клиентский сертификат x509, надо подписать клиентский ключ СА-шным закрытым ключом.
Т.к. центр авторизации мне даёт только доменный сертификат и открытый СА-сертификат, а свой закрытый ключ не отдаст, то и создать клиентский сертификат на основании валидного доменного сертификата может только центр.
Мне остается довольствоваться схемой самоподписанных объектов.

Поправьте, если я не прав.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы