Как подписать корневой центр с lets encrypt сертификатом?
Приветствую, подскажите пожалуйста, как реализовать следующие,
Я хочу поднять центр сертификации на предприятии на базе виндовс сервер 2012, и хочу подписать его сертификатом let's encrypt, чтобы он стал автоматом доверенным внутри предприятия, как это реализовать? Мой центр будет корневым или субординейтом?
Верно, вот этому корневому можно ли сделать любой сертификат чтоб доверял ? У меня есть сертификат wild card, хочу чтобы он доверял новосозданному корневому сертификату.
Alister O, Вы не понимаете. Сертификат формируется один раз, после того, как он создан, его изменение невозможно. Чтобы возникала цепочка доверия Ваш конечный->Ваш корневой->Корневой Комодо нужно, чтобы Ваш корневой был издан Комодо (или другим CA такого же уровня). Но это в принципе невозможно (не, наверное возможно - за много-много-много бабла).
Ваш wildcard не имеет права издавать сертификаты, он только заверяет адреса типа *.nichego.net
LE подписывает только конечные сертификаты. Сертификаты субординатов не подписывает никто - это невероятно большая ответственность для CA.
Поэтому у Вас будет обычный корпоративный CA. Сертификат CA в список корневых для компьютеров домена можно добавить политикой (даже поделиться могу такой политикой). Для FF, для прочих устройств (не Windows) сертификат нужно добавлять вручную.
Alister O, на хроме - с первого раза, он использует системное хранилище. В FF сертификат нужно добавлять вручную (или как-то автоматизировать, но политика не подойдет)
Только добавить ваш корневой сертификат (никак и ничем не связанный с letsecrypt) на уровне системы (либо каждого из браузеров). Другого варианта не существует.
Почему? Разве нельзя подписать внутренний сертификат публичным ? Получиться что мой купленный сертификат доверяет корневому, соответственно если распространю внутри предприятия то автоматом станет доверенным так как let's encrypt уже в доверенных. Я let's encrypt написал для примера, по факту Комодо.
Alister O, Комодо никогда не подпишет сертификат субордината. Потому что Вы выпускаете сертификат для вируса - а отвечать в итоге будет Комодо. У Вас, конечно нет планов так делать - но как Вы это докажете Комодо?
