• Самостоятельно генерить клиентские сертификаты на основании сертификата от StartSSL?

    nmk2002
    @nmk2002
    работаю в ИБ
    Не совсем так. На самом деле у вас есть пара ключей. И закрытым ключом технически возможно подписать что угодно, хоть другой сертификат. Но назначение вашего ключа не подпись других ключей, а аутентификация SSL/TLS. Это указано в самом сертификате, который вы получили от УЦ.
    Если бы УЦ выдал вам сертификат с назначением "подпись сертификатов" (и, желательно, "подпись CRL"), то вы бы могли подписывать другие сертификаты. Но это невозможно по понятным причинам.
    Еще одно ограничение, которое не позволит вам выпускать сертификаты - длина пути валидации, которая тоже скорее всего указана в вашем сертификате (или сертификате УЦ). Выданный вами сертификат является сертификатом конечного пользователя.
    УЦ выдают только такие сертификаты клиентам. В этом суть web trust.
    Ответ написан
    2 комментария