V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
lsylsy2
V2EX  ›  奇思妙想

有没有这样一种“有限制的 CA”的证书

  •  
  •   lsylsy2 · 2014-10-24 15:18:07 +08:00 · 3294 次点击
    这是一个创建于 3690 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如我买了一个wildcard(phiy.me),那么***.phiy.me都可以用这个证书;
    但是有一个缺点:比如我有两台服务器,分别是a.phiy.me和b.phiy.me,他们需要公用一个证书(包括私钥)。
    有没有这样一种证书,他可以用来签发证书链(类似CA一样);但是他有域名限制;
    于是我的证书链就从
    Globalsign-AlphaSSL-*.phiy.me
    变成了
    Globalsign-AlphaSSL-*.phiy.me-a.phiy.me
    然后服务器上的私钥只要存a.phiy.me这一个。
    主要是想起了openvpn用的证书结构……
    14 条回复    2014-10-31 11:08:18 +08:00
    julyclyde
        1
    julyclyde  
       2014-10-24 15:43:31 +08:00
    openvpn的证书就是标准证书,没你说的这种用法吧
    oott123
        2
    oott123  
       2014-10-24 16:17:22 +08:00 via Android
    咦,难道不是你自己拿到的证书就是这种么?
    …难道我一直搞错了OTL…
    wzxjohn
        3
    wzxjohn  
       2014-10-24 16:21:09 +08:00
    我倒是明白了楼主的意思,就是想多个域名公用一个通配符证书的时候,私钥不需要共享。。。如果能实现这个那就太好了。。。
    GPU
        4
    GPU  
       2014-10-24 16:47:03 +08:00
    @wzxjohn +1 同样明白 。
    yfdyh000
        5
    yfdyh000  
       2014-10-24 17:04:11 +08:00
    不太明白,意思是作为有限制的中间CA签发子域证书?
    直接为每个子域购买签发不可以吗,不明白通配的必要性。

    另外,有机构提供中间CA的购买、签发服务,但成本估计不低。
    https://www.wosign.com/products/EPKI_Organizations_wp.htm
    wdlth
        6
    wdlth  
       2014-10-24 17:23:29 +08:00
    类似PKI?我估计很难做到,除非整个浏览器的证书校验方式全换掉。
    因为校验时看的是Common Name,而中级证书的Common Name是不是域名已经不重要了,因为它只是证书链中的一环,叫什么名字都可以。
    lsylsy2
        7
    lsylsy2  
    OP
       2014-10-24 18:33:52 +08:00
    @yfdyh000
    @wdlth
    他这个提供的服务相当于我花多少钱,这个域名底下随便开证书?
    yfdyh000
        8
    yfdyh000  
       2014-10-24 19:17:34 +08:00
    @lsylsy2 http://www.wosign.cn/products/EPKI_price.htm 参考
    估计还有不少限制吧,服务协议,企业资质,用他们的后台面板,他们可吊销等等。总之随便开肯定会被吊销的。中间CA,个人用不上,服务和维护成本太高了。
    wdlth
        9
    wdlth  
       2014-10-24 20:10:31 +08:00
    @lsylsy2 系统里面带有的中间CA只有Google、微软、英特尔等业界巨头,还有NetworkSolution、Gandi等大型域名主机提供商,我估计已经不是钱的问题了……
    yfdyh000
        10
    yfdyh000  
       2014-10-24 20:26:09 +08:00
    @wdlth 中间CA可以被上级CA直接授予吧,不必预装在用户系统中。
    就是通过相关的资质审核,然后在各厂商申请和审核一两年。
    msg7086
        11
    msg7086  
       2014-10-25 01:14:18 +08:00 via iPhone
    CA实现的就是任意签发,所以不能这么做

    泛域名证书本来就是为了一个证书多个子域。如果要单独签发的话直接单域名证书即可。
    wdlth
        12
    wdlth  
       2014-10-25 19:43:12 +08:00
    @yfdyh000 但问题是可信根CA也只会颁发给可信企业……
    yfdyh000
        13
    yfdyh000  
       2014-10-26 06:39:17 +08:00
    @wdlth 根CA的要求比中间CA高多了,必须预装,还得经过国际审核。中间CA只要上级CA信任就可以了。
    如果你指中间CA,的确,也得有企业资质。所以楼主目前的想法应该做不到。

    11楼说的没错,楼主你直接买单域名证书不行吗。
    invite
        14
    invite  
       2014-10-31 11:08:18 +08:00
    明白了楼主的意思, 楼主想要的证书是可以签发其他证书的, 但是只能签发楼主证书指定的域名下的证书.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1480 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:26 · PVG 01:26 · LAX 09:26 · JFK 12:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.