Продолжении цепочки сертификации?

Question

[Rostik-Quantor]

Let's Encrypt да и многие другие центры сертификации выдают личный сертификат (открытый ключ), приватный ключ (закрытый ключ), сертификат корневого CA и сертификат промежуточного CA. А можно ли подписать свой сертификат публичным и приватным личными ключами через OpenSSL и продлить таким образом цепочку сертификации?

Comments

[CityCat4]

Даня, ты задачу изложи. Ты можешь подписать в своем CA все что угодно каким угодно образом, но проблема в том, что твоему CA никто не верит и никто его не знает.

Answer 1

[res2001]

В сертификате указывается его назначение (роль). Обычно сертификаты, которые выдаются пользователям не могут быть использованы для подписи других сертификатов. Для этого нужен сертификат ЦА или промежуточного ЦА. Получить промежуточный авторитетный сертификат ЦА не так просто.

Comments

[CityCat4]

Получить промежуточный авторитетный сертификат ЦА не так просто.

Его не то что не просто, его практически невозможно получить - для физика, для юрика средней руки. Это оооооооочень дорого и очень долго.

[res2001]

CityCat4, Согласен.

[Rostik-Quantor]

res2001,

Для этого нужен сертификат ЦА или промежуточного ЦА.

То есть обычный сертификат нельзя сделать промежуточным CA?

Получить промежуточный авторитетный сертификат ЦА не так просто.

Другу надо много сертификатов. Видимо придётся костылить с Let's Encrypt - отдельно для Web, отдельно для ftps и ftpes, отдельно для SMTP, отдельно для POP3, отдельно для IMAP, отдельно IPsec и наконец отдельно для OpenVPN!!!

А можно ли это как-то бесплатно упростить?

[CityCat4]

Rostik-Quantor,

То есть обычный сертификат нельзя сделать промежуточным CA?

Нет, конечно :) В сертификате нельзя изменить ничего после того, как он выпущен - и в этом его смысл - в том, что некая контора отвечает своим авторитетом (и деньгами) за ту инфу, которая в этом сертификате размещена. Разумеется, я про общеизвестные CA, не про корпоративные.

Другу надо много сертификатов

Зачем? Проверка по EKU? Бреешься, общеизвестные CA выпускают только с EKU Web server и Web client. Разные имена хостов? Бери wildcard. Если можно по клиентам распихать свой сертификат - выпускай в собственном CA и не компостируй моск

[CityCat4]

seeklay, Ага, щаззз. Сами-то пробовали? Я вот пробовал. Во-первых, именно DigiCert узнав о том, что из РФ - сразу отправит в пешее эротическое. Я пробовал с GlobalSign договориться, вроде все ничего, но они такой ценник выкатили, что начальство бы мне голову оторвало :) И потом, там не бесконечное количество, а конечное - 30, 40, 50...