V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Event
V2EX  ›  问与答

如何让自己签发的根证书在全网都为可信状态。。。。。。。。

  •  
  •   Event · 2017-08-20 00:01:21 +08:00 · 5464 次点击
    这是一个创建于 2631 天前的主题,其中的信息可能已经有所发展或是发生改变。
    29 条回复    2017-08-20 23:12:06 +08:00
    mozutaba
        1
    mozutaba  
       2017-08-20 00:03:55 +08:00
    azh7138m
        2
    azh7138m  
       2017-08-20 00:04:04 +08:00 via Android
    花点钱买通上下游机构,我觉得几个逸就够了😀
    BFDZ
        3
    BFDZ  
       2017-08-20 00:06:29 +08:00 via Android   ❤️ 4
    除非你的网站有像 12306 一样的需求,让人不得不相信你的证书。
    turan12
        4
    turan12  
       2017-08-20 00:08:57 +08:00   ❤️ 2
    楼主的“全网”指的是?
    如果是整个局域网内,一台台机器装一下证书就行。
    如果是整个互联网,楼主可以考虑购买一个 Symantec 之类的公司,证书就可以随便签了。
    lzhr
        5
    lzhr  
       2017-08-20 00:11:12 +08:00 via Android
    和 google&mozila 商量一下?
    Event
        6
    Event  
    OP
       2017-08-20 00:12:31 +08:00
    @turan12 其实就是想知道 那些 CA 机构的根证书怎么操作才会让微软把他们加进可信的
    @lzhr
    @BFDZ
    @azh7138m
    pexcn
        7
    pexcn  
       2017-08-20 00:14:24 +08:00 via Android
    几个亿就可以了,哈哈😂
    chinvo
        8
    chinvo  
       2017-08-20 00:15:39 +08:00
    找可信 CA 交叉签署你的继根,然后用这个继根签署目标证书。

    持续发行一段时间证书,没有违规的地方,就可以去各家提交申请了。
    chinvo
        9
    chinvo  
       2017-08-20 00:16:57 +08:00
    chinvo
        10
    chinvo  
       2017-08-20 00:20:56 +08:00   ❤️ 2
    另外开展业务之前拟定好 CP/CPS,并且严格遵守,在申请可信的时候都是要核验的。

    对了,在国内从事密码行业,必须获得密码使用许可,相关信息关注各省密码管理局
    ryd994
        11
    ryd994  
       2017-08-20 00:22:19 +08:00 via Android
    参考 let's encrypt
    早期和某个 CA 搞好关系,成为中级 CA,用自己的 CA 系统和买来的中级 CA 共同签发证书
    在此期间证明自己的系统和流程安全
    等足够的时间建立信任,CAB 论坛会决审批
    https://zh.m.wikipedia.org/wiki/CA/浏览器论坛
    chinvo
        12
    chinvo  
       2017-08-20 00:23:32 +08:00   ❤️ 1
    @ryd994 CAB 不管可信根,各家浏览器 /操作系统自行维护可信列表
    chinvo
        13
    chinvo  
       2017-08-20 00:25:28 +08:00
    转一个讨论串 https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/wCZsVq7AtUY

    这是 mozilla.dev.security.policy 上比较新的一个已经有长篇讨论的申请
    Event
        14
    Event  
    OP
       2017-08-20 00:30:55 +08:00
    @ryd994 共同签发?
    是指同时签发俩
    还是交叉。。。
    ryd994
        15
    ryd994  
       2017-08-20 00:31:11 +08:00 via Android
    @chinvo 唔,是我说错了
    moult
        16
    moult  
       2017-08-20 00:37:40 +08:00 via iPhone
    自己的根证书不是钱能搞定的事情了,要很长的时间建立信任。
    当然中级证书就可以花钱去买,几个大一点的 CA 都有卖 PKI 服务。
    chinvo
        17
    chinvo  
       2017-08-20 00:39:36 +08:00
    @Event 参考 @chinvo #8 交叉签你的中继 CA
    Shura
        18
    Shura  
       2017-08-20 01:13:09 +08:00 via Android
    如果有 zf 信用背书,很快的,参见 cnnic 证书
    RqPS6rhmP3Nyn3Tm
        19
    RqPS6rhmP3Nyn3Tm  
       2017-08-20 03:07:32 +08:00 via iPhone
    @Shura 然后签假证书被吊销了,滑稽
    sofs
        20
    sofs  
       2017-08-20 06:53:12 +08:00 via Android
    钱到位即可
    xiao201261
        21
    xiao201261  
       2017-08-20 10:57:09 +08:00
    世界加钱可及
    hotsnow
        22
    hotsnow  
       2017-08-20 11:20:27 +08:00
    @Shura ZF 信用破产了,加上 CNNIC 自己也作死 :p
    Shura
        23
    Shura  
       2017-08-20 11:49:58 +08:00 via Android
    @hotsnow @BXIA
    明明是资本主义亡我修正社会主义之心不死,怎么说是 cnnic 作死呢?不就一年发几万个假证书吗?滑稽。
    keyfunc
        24
    keyfunc  
       2017-08-20 12:00:58 +08:00   ❤️ 1
    首选找 4 大做 webtrust 审计,然后按照 cab 的要求改进你的 cp 与 cps,微软、苹果、adobe 基本上给钱就能入根,mozilla 的入根周期基本上要 1 年,很多几年都过不了,慢慢磨,google ( android )入根条件是你的根证书必需先入了 mozilla 的 nss
    hotsnow
        25
    hotsnow  
       2017-08-20 12:15:53 +08:00
    直接收购一家现有 CA 是最快最省事的解决方案 :p
    honeycomb
        26
    honeycomb  
       2017-08-20 12:17:25 +08:00 via Android
    首先需要到 mozilla 进行根证书收录申请工作,这部分成功后再向 google,microsoft 等进行申请。mozilla 方面的成功申请可能是一个前提条件。
    electric
        27
    electric  
       2017-08-20 12:19:37 +08:00
    自己造个浏览器,玩自己的规则,什么品牌网站都可以搞!
    zingl
        28
    zingl  
       2017-08-20 15:10:23 +08:00
    没有办法,因为用户可以在客户端手动取消
    Hardrain
        29
    Hardrain  
       2017-08-20 23:12:06 +08:00
    去收购一个根 CA
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2733 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:39 · PVG 17:39 · LAX 02:39 · JFK 05:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.