Цифровая подпись SSL сертификатов?

Question

[Rostik-Quantor]

Допустим есть купленный сертификат или сертификат от Let's Encrypt. Если взять сертификат корневого центра сертификации из этих сертификатов и при помощи OpenSSL подписать им сертификат, он будет признаваться браузерами и почтовыми клиентами или нет?!
Скажите, пожалуйста!

Answer 1

[vreitech]

> подписать им сертификат
открытым ключом вы сертификат не подпишите, а закрытый - только у владельца корневого ЦС.

Answer 2

[Владимир Коротенко]

Мыслите логично. Для подписи нужен закрытый ключ. У вас его нет, если CA не ваше.

Comments

[Rostik-Quantor]

Владимир Коротенко,

Мыслите логично. Для подписи нужен закрытый ключ. У вас его нет, если CA не ваше.

А как создать такие сертификаты, которым будут доверять браузеры, почтовые клиенты, ftp клиенты и RDP через OpenSSL?! Как сделать свой CA доверенным?

[vreitech]

Rostik-Quantor, в трёх словах - потратить много денег.

[Владимир Коротенко]

Rostik-Quantor, В корпоративной среде (Windows) поднимаете свой CA и разворачиваете через групповые политики.
Это нормальная практика :) Используется всеми "Голубыми фишками".
В случае линукса, то же самое, только в хранилище уже сами добавляете, скриптами или руками.

Answer 3

[CityCat4]

Даня, мне нравится ход твоих мыслей :)

Но почитать про криптографию с открытым ключом и процесс выпуска сертификатов все же стоит :)

Выпуск сертификата - это формирование нового файла сертификата на основе той информации, которая находится в файле запроса на сертификат. Для этого нужно иметь два файла - сертификат и ключ сертификата. Сертификат CA есть у всех. Ключа CA нет ни у кого, кроме владельца CA.

Соответственно, ты не можешь выпустить сертификат :)