【发布时间】:2014-05-20 09:17:46
【问题描述】:
是否有可以添加到浏览器的自定义 SSL 证书颁发机构?
我们使用很多内部网址,例如
http://www.somproject.somebranch/ 用于在各个分支上工作
如果有一些服务可以添加到我的浏览器/操作系统中,这将让我对非真实域使用单个证书(或轻松生成证书),那就太棒了。这是否存在,或者这只是#firstworldproblem?
【问题讨论】:
【发布时间】:2014-05-20 09:17:46
【问题描述】:
自定义 CA 的关键在于您必须自己创建它(尤其是作为 CA 证书私钥的持有者)。将任何可用的 CA 证书导入您的浏览器意味着任何拥有其私钥的人都可以颁发您的浏览器识别的证书(通常适用于任何网站,除非有特定的政策)。
有一些工具可以管理 CA:
-
OpenSSL's
CA.pl:这是 OpenSSL 附带的脚本。它非常基本但高度可配置(通过openssl.cnf)。 -
TinyCA 是 OpenSSL 的前端,可帮助您使用 GUI 管理证书。它比
CA.pl更易于管理。 - OSX comes with its own interface in Keychain.app.
- this Security.SE question 中还列出了许多其他工具:EJBCA、OpenCA 和 XCA。
一般来说,大部分艰苦的工作是管理部分(不是系统管理员,而是文书工作)。如果它只适合你,EJBCA 或 OpenCA 可能有点过头了。
【讨论】:
-
看起来没有我要找的服务...我真的很喜欢第三部分网站,它是非真实域的 CA。我想我可以使用这些工具创建一个。
-
您的意思是您正在寻找已部署这些工具的现有服务?
-
理想情况下-我希望能够在myapp.branchXXX等自定义内部域上使用ssl-如果我可以添加一个信任internalcertificates4u.com的浏览器设置,它会自动表示非真实网站是安全的,并且有一个证书可以安装在我所有的开发盒上,它会让生活更轻松。
-
我仍然不清楚您是否想要一项服务为您执行此操作,或者您是否愿意自己安装/使用上面的工具。 TinyCA 和 CA.pl 肯定能够为您仅在内部使用的虚构主机名颁发证书(我认为其他主机名也是如此)。
-
如果没有服务,那我猜你已经告诉我如何制作了!