如何让自己签发的根证书在全网都为可信状态。。。。。。。。

2017-08-20 00:01:21 +08:00
 Event
5483 次点击
所在节点    问与答
29 条回复
mozutaba
2017-08-20 00:03:55 +08:00
azh7138m
2017-08-20 00:04:04 +08:00
花点钱买通上下游机构,我觉得几个逸就够了😀
BFDZ
2017-08-20 00:06:29 +08:00
除非你的网站有像 12306 一样的需求,让人不得不相信你的证书。
turan12
2017-08-20 00:08:57 +08:00
楼主的“全网”指的是?
如果是整个局域网内,一台台机器装一下证书就行。
如果是整个互联网,楼主可以考虑购买一个 Symantec 之类的公司,证书就可以随便签了。
lzhr
2017-08-20 00:11:12 +08:00
和 google&mozila 商量一下?
Event
2017-08-20 00:12:31 +08:00
@turan12 其实就是想知道 那些 CA 机构的根证书怎么操作才会让微软把他们加进可信的
@lzhr
@BFDZ
@azh7138m
pexcn
2017-08-20 00:14:24 +08:00
几个亿就可以了,哈哈😂
chinvo
2017-08-20 00:15:39 +08:00
找可信 CA 交叉签署你的继根,然后用这个继根签署目标证书。

持续发行一段时间证书,没有违规的地方,就可以去各家提交申请了。
chinvo
2017-08-20 00:16:57 +08:00
chinvo
2017-08-20 00:20:56 +08:00
另外开展业务之前拟定好 CP/CPS,并且严格遵守,在申请可信的时候都是要核验的。

对了,在国内从事密码行业,必须获得密码使用许可,相关信息关注各省密码管理局
ryd994
2017-08-20 00:22:19 +08:00
参考 let's encrypt
早期和某个 CA 搞好关系,成为中级 CA,用自己的 CA 系统和买来的中级 CA 共同签发证书
在此期间证明自己的系统和流程安全
等足够的时间建立信任,CAB 论坛会决审批
https://zh.m.wikipedia.org/wiki/CA/浏览器论坛
chinvo
2017-08-20 00:23:32 +08:00
@ryd994 CAB 不管可信根,各家浏览器 /操作系统自行维护可信列表
chinvo
2017-08-20 00:25:28 +08:00
转一个讨论串 https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/wCZsVq7AtUY

这是 mozilla.dev.security.policy 上比较新的一个已经有长篇讨论的申请
Event
2017-08-20 00:30:55 +08:00
@ryd994 共同签发?
是指同时签发俩
还是交叉。。。
ryd994
2017-08-20 00:31:11 +08:00
@chinvo 唔,是我说错了
moult
2017-08-20 00:37:40 +08:00
自己的根证书不是钱能搞定的事情了,要很长的时间建立信任。
当然中级证书就可以花钱去买,几个大一点的 CA 都有卖 PKI 服务。
chinvo
2017-08-20 00:39:36 +08:00
@Event 参考 @chinvo #8 交叉签你的中继 CA
Shura
2017-08-20 01:13:09 +08:00
如果有 zf 信用背书,很快的,参见 cnnic 证书
RqPS6rhmP3Nyn3Tm
2017-08-20 03:07:32 +08:00
@Shura 然后签假证书被吊销了,滑稽
sofs
2017-08-20 06:53:12 +08:00
钱到位即可

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/384268

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX