如何让自己签发的根证书在全网都为可信状态。。。。。。。。

签发

可信

证书

状态

29 条回复 • 2017-08-20 23:12:06 +08:00

1

mozutaba

2017-08-20 00:03:55 +08:00

钱

2

azh7138m

2017-08-20 00:04:04 +08:00 via Android

花点钱买通上下游机构，我觉得几个逸就够了😀

3

BFDZ

2017-08-20 00:06:29 +08:00 via Android

4

除非你的网站有像 12306 一样的需求，让人不得不相信你的证书。

4

turan12

2017-08-20 00:08:57 +08:00

2

楼主的“全网”指的是？
如果是整个局域网内，一台台机器装一下证书就行。
如果是整个互联网，楼主可以考虑购买一个 Symantec 之类的公司，证书就可以随便签了。

5

lzhr

2017-08-20 00:11:12 +08:00 via Android

和 google&mozila 商量一下？

6

Event

OP

2017-08-20 00:12:31 +08:00

@turan12 其实就是想知道那些 CA 机构的根证书怎么操作才会让微软把他们加进可信的
@lzhr
@BFDZ
@azh7138m

7

pexcn

2017-08-20 00:14:24 +08:00 via Android

几个亿就可以了，哈哈😂

8

chinvo

2017-08-20 00:15:39 +08:00

找可信 CA 交叉签署你的继根，然后用这个继根签署目标证书。

持续发行一段时间证书，没有违规的地方，就可以去各家提交申请了。

9

chinvo

2017-08-20 00:16:57 +08:00

各家机构都有相关准则，其中 Mozilla 的是 https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/

10

chinvo

2017-08-20 00:20:56 +08:00

2

另外开展业务之前拟定好 CP/CPS，并且严格遵守，在申请可信的时候都是要核验的。

对了，在国内从事密码行业，必须获得密码使用许可，相关信息关注各省密码管理局

11

ryd994

2017-08-20 00:22:19 +08:00 via Android

参考 let's encrypt
早期和某个 CA 搞好关系，成为中级 CA，用自己的 CA 系统和买来的中级 CA 共同签发证书
在此期间证明自己的系统和流程安全
等足够的时间建立信任，CAB 论坛会决审批
https://zh.m.wikipedia.org/wiki/CA/浏览器论坛

12

chinvo

2017-08-20 00:23:32 +08:00

1

@ryd994 CAB 不管可信根，各家浏览器 /操作系统自行维护可信列表

13

chinvo

2017-08-20 00:25:28 +08:00

转一个讨论串 https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/wCZsVq7AtUY

这是 mozilla.dev.security.policy 上比较新的一个已经有长篇讨论的申请

14

Event

OP

2017-08-20 00:30:55 +08:00

@ryd994 共同签发？
是指同时签发俩
还是交叉。。。

15

ryd994

2017-08-20 00:31:11 +08:00 via Android

@chinvo 唔，是我说错了

16

moult

2017-08-20 00:37:40 +08:00 via iPhone

自己的根证书不是钱能搞定的事情了，要很长的时间建立信任。
当然中级证书就可以花钱去买，几个大一点的 CA 都有卖 PKI 服务。

17

chinvo

2017-08-20 00:39:36 +08:00

@Event 参考 @chinvo #8 交叉签你的中继 CA

18

Shura

2017-08-20 01:13:09 +08:00 via Android

如果有 zf 信用背书，很快的，参见 cnnic 证书

19

RqPS6rhmP3Nyn3Tm

2017-08-20 03:07:32 +08:00 via iPhone

@Shura 然后签假证书被吊销了，滑稽

20

sofs

2017-08-20 06:53:12 +08:00 via Android

钱到位即可

21

xiao201261

2017-08-20 10:57:09 +08:00

世界加钱可及

22

hotsnow

2017-08-20 11:20:27 +08:00

@Shura ZF 信用破产了，加上 CNNIC 自己也作死 :p

23

Shura

2017-08-20 11:49:58 +08:00 via Android

@hotsnow @BXIA
明明是资本主义亡我修正社会主义之心不死，怎么说是 cnnic 作死呢？不就一年发几万个假证书吗？滑稽。

24

keyfunc

2017-08-20 12:00:58 +08:00

1

首选找 4 大做 webtrust 审计，然后按照 cab 的要求改进你的 cp 与 cps，微软、苹果、adobe 基本上给钱就能入根，mozilla 的入根周期基本上要 1 年，很多几年都过不了，慢慢磨，google （ android ）入根条件是你的根证书必需先入了 mozilla 的 nss

25

hotsnow

2017-08-20 12:15:53 +08:00

直接收购一家现有 CA 是最快最省事的解决方案 :p