Как подписать корневой центр с lets encrypt сертификатом?

Question

[Alister O]

Приветствую, подскажите пожалуйста, как реализовать следующие,
Я хочу поднять центр сертификации на предприятии на базе виндовс сервер 2012, и хочу подписать его сертификатом let's encrypt, чтобы он стал автоматом доверенным внутри предприятия, как это реализовать? Мой центр будет корневым или субординейтом?

Answer 1

[chupasaurus]

• Корневые сертификаты по определению самоподписанные
  
• Let's Encrypt не выдает сертификаты с правом подписывать/выпускать другие.
  

Comments

[Alister O]

Верно, вот этому корневому можно ли сделать любой сертификат чтоб доверял ? У меня есть сертификат wild card, хочу чтобы он доверял новосозданному корневому сертификату.

[CityCat4]

Alister O, Вы не понимаете. Сертификат формируется один раз, после того, как он создан, его изменение невозможно. Чтобы возникала цепочка доверия Ваш конечный->Ваш корневой->Корневой Комодо нужно, чтобы Ваш корневой был издан Комодо (или другим CA такого же уровня). Но это в принципе невозможно (не, наверное возможно - за много-много-много бабла).
Ваш wildcard не имеет права издавать сертификаты, он только заверяет адреса типа *.nichego.net

Answer 2

[CityCat4]

Никак.

LE подписывает только конечные сертификаты. Сертификаты субординатов не подписывает никто - это невероятно большая ответственность для CA.

Поэтому у Вас будет обычный корпоративный CA. Сертификат CA в список корневых для компьютеров домена можно добавить политикой (даже поделиться могу такой политикой). Для FF, для прочих устройств (не Windows) сертификат нужно добавлять вручную.

Comments

[Alister O]

Понятно, спасибо, а на хром и ФФ замки будут с первого раза зелёнымы?

[CityCat4]

Alister O, на хроме - с первого раза, он использует системное хранилище. В FF сертификат нужно добавлять вручную (или как-то автоматизировать, но политика не подойдет)

Answer 3

[Dmitry Tallmange]

Только добавить ваш корневой сертификат (никак и ничем не связанный с letsecrypt) на уровне системы (либо каждого из браузеров). Другого варианта не существует.

Comments

[Alister O]

Почему? Разве нельзя подписать внутренний сертификат публичным ? Получиться что мой купленный сертификат доверяет корневому, соответственно если распространю внутри предприятия то автоматом станет доверенным так как let's encrypt уже в доверенных. Я let's encrypt написал для примера, по факту Комодо.

[CityCat4]

Alister O, Комодо никогда не подпишет сертификат субордината. Потому что Вы выпускаете сертификат для вируса - а отвечать в итоге будет Комодо. У Вас, конечно нет планов так делать - но как Вы это докажете Комодо?

Answer 4

[akelsey]

Ответьте сначала себе на вопрос: Если бы это было возможно, то кто бы покупал сертификаты у Comodo,Thawte,Symantec etc.?