Yo creo Entiendo cómo funciona OpenSSL y creo Tengo un buen plan de juego para configurar un servidor SSL en mi red privada, pero antes de continuar. En el proceso de descargar y configurar todo el software necesario, quería publicar esta pregunta como una prueba de validez.
Por favor, corríjame si alguna de las siguientes opciones no es verdadera:
- OpenSSL es una biblioteca compilada (probablemente C / C ++) que puedo descargar en mi servidor Linux; luego me dará herramientas de línea de comandos a las que puedo llamar desde aplicaciones externas o directamente en la terminal
- El Java
keytoolpuede usarse para generar CSR y claves privadas que OpenSSL necesitará - Para obtener un certificado SSL a través de OpenSSL, comienzo utilizando
keytoolpara generar el CSR y luego, de alguna manera (¿probablemente como un argumento?), paso ese CSR a OpenSSL a través de la interfaz de línea de comandos
Nuevamente, si alguno de estos es falso, ¡por favor comience a corregirme!
Ahora, asumiendo que estoy en el camino correcto, tengo una preocupación importante con este método:
Aunque es una opción gratuita, ¿esto no significa que cualquier navegador web que intente conectarse a mi servidor a través de HTTPS no reconocerá mi certificado de CA y no emitirá un mensaje de advertencia desagradable a mis usuarios finales?
Si no, explique por qué. Si es así, entonces una de las soluciones que esperaba explorar era una situación en la que compre mi certificado SSL principal de un proveedor comercial (Verisign, Trustwave, GeoTrust, quien sea) y luego de alguna manera use OpenSSL para "separarme" de ese certificado para todos mis subdominios.
El objetivo aquí es obtener varios certificados SSL a bajo costo, pero aún así deben ser auténticos y, por lo tanto, de confianza para los navegadores de mis usuarios finales.
¿Alguna posibilidad de que esto sea una posibilidad o tendré que recurrir a un proveedor comercial?