Nálam hozzáértőbbektől kérdezem. Lehet olyat csinálni, hogy vásárolok egy (nemtudommilyen) tanúsítványt hivatalos cert szolgáltatótól, ezt beteszem az XCA-ba, és onnantól az összes szerveremnek (web, email) tudok osztogatni hivatalos tanúsítványt?
Nem tudom, érthető-e a kérdésem, kávé előtt vagyok még :)
Ha lehet ilyet csinálni, akkor milyen tanúsítványt kell vásárolnom?
- 3564 megtekintés
Hozzászólások
Természetesen lehet, de ahhoz olyan tanúsítvány szükséges, mint amilyen a tanúsítvány szolgáltatóknak van. (Lévén te is tanúsítvány szolgáltató leszel) Eltekintve az árától, meg attól mennyi macerával jár, a különféle programok meglehetősen különbözően kezelik ezt a helyzetet, nem is beszélve a kliensekről.
Csak, hogy egy picit lásd a nehézségeit a dolognak, nézz megy egy GoDaddy által kiállított tanúsítványt, aminek az elfogadottsága elég széles körű, illetve egy NetLock -os tanúsítványt amit - tudtommal - kb csak az IE6 fogad el.
----
올드보이
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni
Hmm. Végülis logikus, ha olcsó és egyszerű lenne, akkor mindenki így csinálná. Köszönöm a választ! Tehát továbbra is amatőr szinten kérdezve: az sem lehetséges, hogy vásárolok egy *.domain.hu-ra érvényes tanúsítványt, és utána ennek segítségével adok ki a domain.hu alatt lévő szervereknek tanúsítványt?
- A hozzászóláshoz be kell jelentkezni
Nem, mert a CA:true flag beállításáért rohadt sokat kell fizetni. Ld előző hozzászólásom.
- A hozzászóláshoz be kell jelentkezni
Nem, a kiadáshoz CA-nak kell lenned.
Viszont van wildcard certificate, ez esetben a *.domain.hu-ra vett wildcard cert-ed érvényes lesz a domain.hu minden subdomain-jára (de magára a domain.hu-ra asszem nem).
- A hozzászóláshoz be kell jelentkezni
+UCC lehetőségével megteheted, hogy
*.domained.hu # wildcard amiből egy lehet csak a tanúsítványban
domained.hu # UCC-ként
alma.piros.hu # további UCC
banan.sarga.hu # további UCC
...
domaineket is felsorolj, de csak n karakter hosszú hely van a tanúsítványban, így átlagos hosszú domainnévből kb. 20 UCC fér bele.
- A hozzászóláshoz be kell jelentkezni
Rosszul tudod, a Netlock-os tanúsítványt a java (jre/jdk) kivételével minden elfogadja.
De a java a godaddy-t sem fogadja el. (Értsd: alapból nincs benne egyik fent említett kiadó root certje sem.)
A programok pedig teljesen jól kezelik, ezt a helyzetet. Majd minden CA-nál így van megcsinálva (sub CA ad ki certet).
Csak, hogy válaszoljak az eredeti kérdésre:
lehet, sokba kerül (venni kell hozzá hardvert is + maga a sub CA jog), illetve félévenként / évenként kötelező auditot csinál a kibocsájtó szervezet nálad.
- A hozzászóláshoz be kell jelentkezni