Кто может объяснить пару моментов связанный с сертификатами ssl?

Question

[Сергей]

Итак. Сначала к тому что есть, а потом к тому что не ясно. Имеется центр сертификации развернутый в сети. Который выпускает и подписывает сертификаты для всех устройств в сети. УРААА! По AD раскидываем сертификат как доверенный коревой и в браузерах у нас для всего появляется клевая белая строчка, которая говорит что с сертификатом всё ок. УРААА! Теперь мы можем стучаться в разные девайсы и радоваться "безопасности". НО! Тут нам приходит в голову мысль. А не купить ли нам сертификат от корневого центра. Чтоб том нам подсвечивал клёвым зеленым цветом нашу строчку. И тут возникают вопросы.

1. Мультидоменный сертификат выписывается по маске *.чегототам.ру (к примеру). Выходит что сам чегототам.ру не подпадает под действие этого сертификата?
2. Момент связанный с распространением этого сертификата по сети на устройства. Получается что я назначаю каждому конкретному устройству доменное имя и скармливаю ему один и тот же сертификат? А не жирно выходит?

Answer 1

[Пума Тайланд]

в вилдкардл сертификат обычно всегда входит и просто сам домен domain.com по крайней мере сертификатов в которые бы он не входил я не встречал
да один и тот же
что вы имеете в виду под не жирно?

Comments

[Сергей]

я имею в виду что сертификат отвечающий за шифрование всего домена содержится на каждому устройстве в полном варианте и уровень взломостойкости у устройств разный.

[Пума Тайланд]

Сергей: то есть вы сами ставите сертификат на не безопасное устройство и сами же за него переживаете?
ну ставьте только на безопасные
сказать честно за всю жизнь у меня не взломали ни одного сервера или железки через какую либо уязвимость там где я настроил безопасность и использовал хорошие пароли

[Сергей]

мне просто не совсем понятно. я думал что должен быть сертификат для своего центра сертификации в сети. а он уже выдает внутри домена сертификаты. или мне нужен сертификат другого типа?

[Пума Тайланд]

Сергей: увы не встречал вариантов с открытием своего центра сертификации

[Сергей]

ясно. этот момент меня и убивает. думал я тупой. а есть ли протокол - технология при которой сертификат хранится в хранилище, а конечное устройство является посредником при передаче его и само не хранит?

[Николай Корабельников]

Сертификат не является секретной информацией, скорее напротив - это то, что устройство передает на проверку. Секретная информация - закрытый ключ ключевой пары. Он должен храниться на устройстве.

Answer 2

[Николай Корабельников]

Нет. Для внутренних нужд у вас правильная схема. Свой PKI и доверие к своему корневому УЦ. Так и должно быть.
У каждого устройства своя пара ключей (желательно локально сгенерированная) и свой сертификат.

Comments

[Сергей]

Ясно. Была крамольная мысль что в сети нужно реализовать зеленым цветом. Но раз правильно, пусть так и остается.