3

非常に大規模なサーバー インフラストラクチャを使用してプロジェクトを管理しています。

現時点では、さまざまなサブドメインに複数の SSL 証明書を使用していますが、これは簡単なことではありません。

私にとってはるかに経済的な解決策は、ワイルド カード証明書を 1 つ取得し、それをすべてのサーバーで使用することです。

ただし、これらのサーバーは世界中に分散しており、そのうちの 1 つが物理的またはその他の手段で危険にさらされると、システムに侵入した人の手に秘密証明書キーが渡ります。

その場合、ワイルドカード証明書を使用すると、キーが侵害されたキーは、システムの他のすべてのコンポーネントのキーにもなります (同じ証明書を持っているため)。

重要でないエッジ サーバーが侵害されたために、メイン Web サイトの SSL セキュリティを侵害したくありません。

そのため、どうにかして自分のサブドメインに独自の CSR を署名できないかと考えました。

「セルフサービスのトップレベルドメイン全体の中間認証局」のようなもの

そのようなことはありますか?私が理解している限り、認証局と中間認証局は、共通名 (ドメイン) の特定の範囲に限定されません。

ただし、たとえば Google on the fly は、Web サイトの特別な部分でセキュリティ目的で証明書を生成することを知っています。

彼らはどうやってそれをするのだろうか。それとも、独自の認証局ですか?

質問が明確であることを願っています。

4

3 に答える 3

4

Google が認証機関かどうかはわかりません。Google の CA が見つからないようです。

とにかく、認証局はグローバルな中間 CA を提供するべきではありません。予想通り、虐待につながった人もいました。CN に限定された中間 CA を配信する方法はありません。したがって、探していることを実行する方法はありません。

DANE を使えば可能ですが、何年も前に主流になることはありません。https://www.rfc-editor.org/rfc/rfc6698を参照してください。

于 2013-05-10T16:20:58.393 に答える
1

MPKI (Managed Public Key Infrastructure) を使用すると、事前承認済みドメインで独自の証明書を即座に作成できます。

これでお金が節約できるとは思いませんが、ご要望の多くの項目を実行できます。

于 2013-05-13T17:49:03.803 に答える