Certificados de servidor, autoridad de certificación y servidores

Navega tus respuestas
2

Actualmente tengo un certificado de comodín válido instalado en el servidor OS X 10.8.2. Para asegurarme de que sepamos de qué estoy hablando, el certificado es * .domain.com (solo ejemplo) Me encantaría usar esto para asegurar todo lo que pueda.

¿Puedo usar este certificado para generar certificados para computer1.domain.com, computer2.domain.com, (subdominios dentro de MY domain), etc.? ¿O simplemente instalo el certificado de comodín en todas partes?

Tengo la capacidad en Acceso a Llaves bajo el Asistente de Certificados para crear una Autoridad de Certificación.

También puedo crear certificados de firma de código utilizando el asistente de certificados.

También me gustaría poder crear firmas digitales para mail.domain.com basadas en el comodín SSL.

¿Es esto posible? Mi objetivo es que todo sea legítimo y esté a la altura de las reglas.

¿Hay alguna pregunta que pueda responder para ayudar a aclarar algo que he declarado?

    
pregunta Everett 06.12.2012 - 20:12
fuente

3 respuestas

6

Su certificado tendrá ciertas propiedades, creo que se llaman "uso de certificado" o similar. Si, debajo de allí, encuentra Certificate Signing , entonces sí, puede usar su certificado para firmar otros certificados.

Nota: la restricción Signing por sí sola no significa que pueda firmar otros certificados, debe ser el Certificate Signing completo.

Su certificado de comodín es válido para todos los dominios que coincidan con *.domain.com , así que sí, puede usar su certificado para https en cualquier subdominio, y será aceptado por los navegadores del cliente, asumiendo que su certificado está firmado por un confiable CA.

Nota adicional:

Una forma bastante fácil de saberlo es por cuánto pagó por este certificado. Un certificado Certificate Signing firmado por una CA confiable y ubicua vale una gran cantidad de dinero.

    
respondido por el lynks 06.12.2012 - 20:22
fuente
7

Un certificado es tan bueno como quien valida cree que es. Un certificado es bueno para SSL siempre que los clientes SSL (por ejemplo, navegadores web o clientes VPN) lo acepten como bueno. Hagas lo que hagas, los clientes existentes liderarán el baile.

Se describe un certificado de "comodín" en RFC 2818 , sección 3.1:

  

Los nombres pueden contener el comodín      carácter * que se considera que coincide con cualquier nombre de dominio único      Componente o fragmento de componente. Por ejemplo, .a.com coincide con foo.a.com pero      No es bar.foo.a.com. f .com coincide con foo.com pero no con bar.com.

Este es el único lugar donde el carácter " * " tiene un significado especial. Esto significa que su certificado de comodín es "un certificado de comodín" solo en el contexto de un servidor HTTPS: en ese contexto, el cliente requerirá que el nombre del servidor deseado (el de la URL) coincida con el nombre en el certificado; El "comodín" es un tipo de combinación de todos. Por lo tanto, los clientes aceptarán su certificado como un certificado para los servidores foo.domain.com, bar.domain.com, qux.domain.com ... y así sucesivamente.

Tenga en cuenta que algunos otros protocolos han adoptado más o menos las mismas reglas de coincidencia de nombres; p.ej. un certificado para un servidor IMAPS también deberá contener el nombre del servidor (es decir, el nombre que esperan los clientes). Además, tenga en cuenta que el soporte completo para comodines es una especie de rareza (los clientes que aceptan considerar *fo*.domain.com como coincidir con foo.domain.com no son legión).

Esto es completamente ortogonal a la cuestión de la emisión de certificados secundarios. Un certificado que se acepta como emisor para otro certificado se denomina CA certificate y el sello distintivo de un certificado de CA es que contiene una extensión de Restricciones básicas con el indicador cA establecido en TRUE ( consulte RFC 5280 , sección 4.2.1.9). Ningún cliente aceptará un certificado emitido por su certificado de "comodín" a menos que tenga esta bandera; y la presencia o ausencia de un carácter " * " en el nombre es totalmente irrelevante aquí.

Como nota al margen, me parece un poco dudosa la idea de "asegurar todo" copiando el mismo certificado y la clave privada en muchas máquinas. Cuanto más copia una clave privada, menos secreto se vuelve. La criptografía asimétrica fue diseñada para evitar copiar claves secretas. El paradigma de certificado normal es que cada entidad en una red debe tener su propia clave privada, en lugar de compartir la misma clave privada entre los hosts.

    
respondido por el Thomas Pornin 07.12.2012 - 02:23
fuente
1

Me sorprendería mucho si alguna vez obtuviera un certificado válido que hiciera ambas cosas. Los certificados de firma de certificados tienden a hacerlo solo, no son compatibles con la identificación del servidor (por ejemplo, SSL), dado lo realmente necesario para estar protegidos.

Si ese certificado y la clave privada se instalaron en un servidor web, todo lo que un atacante tendría que hacer es violar ese servidor web, y ahora tienen una clave de firma de CA confiable. Con esa clave de firma, podrían generar un certificado válido para cualquier dominio en Internet. De ahí que necesiten ser protegidos.

    
respondido por el Steve 06.12.2012 - 22:30
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo enviar y recibir correos electrónicos no rastreables? [duplicar] ¿Hay alguna razón por la que no deba usar SHA1 de salt + nombre de sitio web + contraseña maestra para mi contraseña en sitios web?