Benutzerdefinierte SSL-Zertifizierungsstelle?

Question

Gibt es eine benutzerdefinierte SSL-Zertifizierungsstelle, die ich meinem Browser hinzufügen kann?

Wir verwenden viele interne Urls wie

http://www.somproject.somebranch/ für auf einzelne Zweige arbeiten

Es wäre cool, wenn es einige Service war ich zu meinem Browser/OS hinzufügen könnte, die mir ein einziges cert verwenden lassen würde (oder einfach certs generieren) für nicht-reale Domains. Gibt es das, oder ist das nur ein #World-Problem?

Answer 1

Der Punkt einer benutzerdefinierten Zertifizierungsstelle ist, dass Sie sie selbst erstellen müssen (indem Sie insbesondere der Inhaber des privaten Schlüssels für das CA-Zertifikat ist). Wenn Sie nur ein beliebiges verfügbares CA-Zertifikat in Ihren Browser importieren, bedeutet dies, dass jeder mit seinem privaten Schlüssel Zertifikate ausstellen kann, die von Ihrem Browser erkannt werden (normalerweise für jede Site, es sei denn, es gibt eine bestimmte Richtlinie).

Es gibt ein paar Werkzeuge, um eine CA zu verwalten:

• OpenSSL's CA.pl: es ist ein Skript ist, das mit OpenSSL kommt. Es ist ziemlich einfach, aber in hohem Grade konfigurierbar (über openssl.cnf).
• TinyCA ist ein Front-End für OpenSSL, mit dem Sie Ihre Zertifikate mit einer GUI verwalten können. Es ist ein wenig überschaubarer als CA.pl.
• OSX comes with its own interface in Keychain.app.
• Es gibt eine Reihe anderer Werkzeuge, die in this Security.SE question aufgeführt sind: EJBCA, OpenCA und XCA.

Die meiste harte Arbeit ist der administrative Teil (nicht so sehr Systemadministrator, sondern Papierkram) im Allgemeinen. Wenn es nur für dich ist, könnte EJBCA oder OpenCA zu viel werden.