Szerintem a saját tanúsítványával nem tudja aláírni hitelesen az általa kiállított tanúsítványt.
Ha be akar lépni a "láncba" akkor azért súlyos pénzeket kell fizetni egy root ca felé.
Nekem jobb megoldásom van, igaz nem pont egyetlen tanúsítványra, hanem további tanúsítványok megbízható elfogadtatására.
A ti problémátokat, ha arra az egy vasra kell tanúsítvány, akkor egy root ca-val aláíratott tanúsítvány fogja megoldani.
Nálam több szerver, meg programok hitelesítése (e kettő független egymástól)indította be a hangyát.
Vagyis van több szerverem és nem akarok mindegyikre 15 ezret költeni, meg vannak programok, amiket mi állítunk elő, és hitelesíteni szeretnénk a felhasználóink felé. Azonban nem akarunk fizetni olyan szolgáltatásért feleslegesen, amit mi is meg tudunk oldani, legalábbis részben.
Az elmélet a következő, hátha találsz benne a számtokra is használhatót:
1.) Kijelölsz egy tanúsítványtároló webszervert.
2.) Erre az egyetlen vasra egy root ca-tól beszerzel egy tanúsítványt, kb 15 ezer forint/év.
3.) Kijelölsz egy aláíró ROOT CA-t a gépparkodon belül, és kiállítasz vele egy önaláírt tanúsítványt.
4.) Azokra a szervereidre, amelyekre szükséged van tanúsítványra, létrehozod hozzá, és aláíratod a saját ROOT CA-ddal.
5.) Az aláírt tanúsítvány privát kulcs nélküli változatát elhelyezed az 1-es pontban említett szerveren. Természetesen ez a szerver feltörhetetlen, stb.
6.) Az ügyfeleidet kiértesíted, hogy erről a szerverről letölthetik a számítógépük ROOT CA tárolójába a tanúsítványt; amely weblapjaidat látogatják, az azokhoz valót.
A lényeg a dologban, hogy teljes bizonyossággal hiteles tanúsítványt töltenek le, mivel a szerver, amelyikről letöltik a szükséges tanúsítványt, egy hiteles, legfelsőbb szintű tanúsítványkiadó által van aláírva, és a szervert te üzemelteted.
Kb. így zajlik a folyamat:
Az ügyfél rámegy a weblapodra.
Az ügyfél böngészője tanúsítványhibát fog jelezni.
A weblapon van egy link, ami rámutat a tanúsítványtároló szerveredre.
Az ügyfél elmegy a link alapján a tanúsítványért.
A böngészője jelzi, hogy a weblap tanúsítvány rendben van.
Az ügyfél azért megnézi a weblap tanúsítványát, és látja, hogy az valóban rendben van, és innentől megnyugodhat, hogy jó helyre lett irányítva, és valóban egy hamisítatlan tanúsítványt fog majd innen letölteni.
Az ügyfél letölti a te ROOT CA-d tanúsítványát, és beemeli azt a gépe tanúsítványtárába.
Innentől bármelyik vebszerveredet felkeresheti, amit a te ROOT CA-d írt alá, rendben fogja azt találni, mivel a root ca-d tanúsítványa már ott van a gépén.
Ettől fogva már aláírt programokat is letölthet, azt is rendben fogja találni.
Szerintem működik a dolog.
Persze ha a nagyvilág számára akarsz kirakni weblapot, akkor ott bukik a mutatvány, hiszen nem valószínű, hogy elmegy a linken a tanúsítványért, és telepíti azt a gépére.
Tehát alapvetően üzleti partnerek esetében látom működőképesnek a fenti elképzelést.