Самостоятельное создание EV SSL сертификата с помощью open SSL?

Question

[Keffer]

Как правильно сгенерить в openSSL корневой сертификат (rootCA) и с его помощью выпускать так называемые EV сертификаты, свои самоподписанные, чтобы в браузере при входе на внутренний корпоративный сайт была зеленая строка с названием компании? Все будет использоваться внутри своего домена разумеется. Здесь (https://toster.ru/q/241292) пишут что "EV сертификат от обычного отличается только тем, что заполнены некоторые дополнительные поля." Хотелось бы узнать какие именно? Как в open ssl это дело правильно генерить?

Answer 1

[CityCat4]

Взять побольше существующих EV-сертификатов, и проанализировать их, посмотрев какие поля в них есть. Но почему тут про браузеры говорят - да потому что в браузере может быть тупо заложено ограничение типа "EV может издаваться только CA таким-то, таким-то и таким-то, все остальные - не EV"

Answer 2

[ky0]

Придётся перекомпилировать браузеры. Оно вам надо?

Comments

[Keffer]

Без перекомпиляции браузеров вы хотите сказать, никак не обойтись? Это почему же, позвольте спросить? Зачем трогать браузеры если можно импортировать в них соответствующий самовыпущенный корневой сертификат, и подписанный этим корневым сертификатом EV сертификат использовать где нужно?

Answer 3

[SagePtr]

Корневые сертификаты, позволяющие подписывать EV-сертификаты, встроены в браузер, потому даже если условный фюрер даст приказ всем гражданам страны под угрозой расстрелов поставить корневые сертификаты Кремлина и подменять весь трафик, подписывая этими сертификатами - то браузеры не будут доверять им в полной мере. Если, конечно, не пересадят всех законодательно на условный Амиго.

Comments

[Keffer]

Я и до этого преотлично знаю состояние дел с существующими EV сертификатами и центрами их выпускающими. Вопрос был, можно ли в корпоративной закрытой среде осуществлять самостоятельно выпуск таких сертификатов. Если да то как.

[SagePtr]

Keffer, вместе с этими внутрикорпоративными EV-сертификатами использовать внутри этой среды также браузер, который этим сертификатам доверяет, как EV

[Keffer]

SagePtr, Причем тут браузер? В браузер достаточно импортировать rootCA сертификат, с помощью которого были подписаны сертификаты EV. Браузеру самому пофигу, какому сертификату доверять или нет. Есть в доверенных rootCA - будет все ок, нету то и напишет что нет доверия.

[SagePtr]

Keffer, но эти сертификаты от этого EV от этого не станут и будут обрабатываться как обычные сертификаты.

[Keffer]

SagePtr, Собственно мой вопрос в этом и заключается - как сгенерить с помощью openssl корневой серт для импорта в браузеры и выпустить подписанные им EV серты. Что отличает EV серт от не EV серта, какие поля требуются при генерации корневого серта, если с помощью него планируется выпускать EV серты? Или можно обычный rootCA сгенерить и признак EV будет только у конечных сертов?

[SagePtr]

Keffer, а что вам мешает выковырять данные сертификаты и посмотреть, чем они отличаются от остальных CA-сертификатов? Скорее всего, там кастомная политика выдачи.

Answer 4

[Keffer]

Насчет браузеров - неизвестно достоверно. Лишь предположения. Вот и ищем решения у тех кто сталкивался наверняка.

Comments

[SagePtr]

Держите исходные файлы в браузерах, где осуществляется проверка EV:
Mozilla: https://github.com/mozilla/gecko-dev/blob/master/s...
Chromium: https://github.com/chromium/chromium/blob/master/n...
Для IE/Edge - сказать не могу, их исходников у меня нет да и не припомню, чтобы MS выкладывали их в открытый доступ, если выложили - в таком случае поищите самостоятельно.

[Keffer]

Мы с вами наверное друг друга не понимаем. А на деле все проще. Нашел вот годную статью: https://www.sysadmins.lv/blog-ru/delaem-vnutrekorp... человек там ясно описывает, что никакой компиляции браузеров не надо. Достаточно изменить в коревом серте OID (шта это такое и как его впихнуть при генерации OpenSSL - непонятно) и распространить его на компах домена. И тогда все серты выпущенные этим ЦС будут считаться как EV. И во всех браузерах, куда импортирован этот корневой серт, строка зеленая таки появится.

[SagePtr]

Keffer, это для IE. Если у вас в корпоративной среде используется IE в качестве браузера - то да, вы можете воспользоваться этой статьёй и генерировать такие сертификаты. Естественно, кроме IE, использующим вашу групповую политику, никто более доверять им не будет.

[Keffer]

SagePtr, То есть, вы утверждаете, что даже импорт этого модифицированного серта в такие браузеры как Mozilla не приведет к результату? Или уверенности в этом нет?

[SagePtr]

Keffer, я вам скинул исходники. Что вам мешает изучить их и убедиться, что проверка происходит только по зашитому в код списку и никакие внешние хранилища для проверки статуса EV не используются?