Мы с вами наверное друг друга не понимаем. А на деле все проще. Нашел вот годную статью: https://www.sysadmins.lv/blog-ru/delaem-vnutrekorp... человек там ясно описывает, что никакой компиляции браузеров не надо. Достаточно изменить в коревом серте OID (шта это такое и как его впихнуть при генерации OpenSSL - непонятно) и распространить его на компах домена. И тогда все серты выпущенные этим ЦС будут считаться как EV. И во всех браузерах, куда импортирован этот корневой серт, строка зеленая таки появится.
SagePtr, Собственно мой вопрос в этом и заключается - как сгенерить с помощью openssl корневой серт для импорта в браузеры и выпустить подписанные им EV серты. Что отличает EV серт от не EV серта, какие поля требуются при генерации корневого серта, если с помощью него планируется выпускать EV серты? Или можно обычный rootCA сгенерить и признак EV будет только у конечных сертов?
SagePtr, Причем тут браузер? В браузер достаточно импортировать rootCA сертификат, с помощью которого были подписаны сертификаты EV. Браузеру самому пофигу, какому сертификату доверять или нет. Есть в доверенных rootCA - будет все ок, нету то и напишет что нет доверия.
Я и до этого преотлично знаю состояние дел с существующими EV сертификатами и центрами их выпускающими. Вопрос был, можно ли в корпоративной закрытой среде осуществлять самостоятельно выпуск таких сертификатов. Если да то как.
Без перекомпиляции браузеров вы хотите сказать, никак не обойтись? Это почему же, позвольте спросить? Зачем трогать браузеры если можно импортировать в них соответствующий самовыпущенный корневой сертификат, и подписанный этим корневым сертификатом EV сертификат использовать где нужно?
