这是一个创建于 1252 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天翻证书链,发现 Google 的 CA 的中间证书还有半年就要到期了。
突发奇想,如果我想自己建一个权威 CA 给自己发证书,要花多少钱?
第 1 条附言 · 2021-06-05 15:21:25 +08:00
谢谢大家提供的信息,那么购买一张中级证书成为 RA 需要多少成本呢?
第 2 条附言 · 2021-06-05 15:24:12 +08:00
我找到了 GeoTrust 的文档 https://archive.is/q01DZ
To purchase GeoRoot you must meet the following minimum requirements:
- Net worth of $5M or more
- A minimum of $5M in Errors and Omissions insurance
- Articles of Incorporation (or similar) and an incumbency certificate provided
- A written and maintained Certificate Practice Statement (CPS)
- A FIPS 140-2 Level 2 compliant device (GeoTrust has partnered with SafeNet, Inc.) for key generating and storing your root certificate keys
- An approved CA product from Baltimore/Betrusted, Entrust, Microsoft, Netscape or RSA
我觉得还是放弃的好。。。
To purchase GeoRoot you must meet the following minimum requirements:
- Net worth of $5M or more
- A minimum of $5M in Errors and Omissions insurance
- Articles of Incorporation (or similar) and an incumbency certificate provided
- A written and maintained Certificate Practice Statement (CPS)
- A FIPS 140-2 Level 2 compliant device (GeoTrust has partnered with SafeNet, Inc.) for key generating and storing your root certificate keys
- An approved CA product from Baltimore/Betrusted, Entrust, Microsoft, Netscape or RSA
我觉得还是放弃的好。。。
 |
1
lianyue 2021-06-05 13:13:31 +08:00
最快的方法就是找一个权威的收购 看看 市值就找到了
|
 |
2
TyteKa 2021-06-05 13:14:40 +08:00  1
CA 的安全级别不是一个一般人能够达到的。可参考 https://www.zhihu.com/question/22260090/answer/648910720
|
 |
3
iBugOne 2021-06-05 13:19:50 +08:00
权威 CA 是不可能的,但是如果只是自己建一个 CA 给自己发证书的话,一分钱都不用,各种工具(尤其是 openssl 命令行)就可以直接开干
|
 |
4
learningman OP @TyteKa #2 看了一下,感觉我想要的是个 RA,就是能给自己签证书就行。
|
 |
5
tia 2021-06-05 13:31:43 +08:00
要同时取得微软、谷歌、苹果、Mozilla 、甲骨文等的信任
|
 |
6
mxT52CRuqR6o5 2021-06-05 13:45:53 +08:00 via Android
我记得之前好几个 ca 的收购都价值几亿美金以上这样子吧
权威 CA 最重要的就是信用,要证明自己的信用可不便宜哦 |
 |
7
Tink 2021-06-05 14:30:50 +08:00 via Android
自己签证书不要钱,0 成本,会敲命令就行了
|
 |
8
zanxj 2021-06-05 14:39:14 +08:00
印证了什么叫无知者无畏[狗头]
|
 |
9
nightwitch 2021-06-05 14:42:13 +08:00
0 成本,用 openssh 生成个根证书然后想签多少签多少。
想要取得操作系统厂商和浏览器厂商的信任的话洗洗睡吧,不是靠一个人能搞定的。 |
 |
10
Jirajine 2021-06-05 14:55:45 +08:00 via Android
你可以顺便搞个操作系统 /浏览器的发行版,然后信任自己的 CA 。
|
 |
11
chinvo 2021-06-05 14:59:34 +08:00 via iPhone
最大成本是楼上说的管控成本, 其次是审计成本. 或者说, 其实所有主要成本都是审计成本.
有个机构叫 CA/浏览器论坛 Certification Authority Browser Forum. 标准化了认证流程. 可以看一下这个机构发布的标准文件. 其中“最重要”的是, CA 机构需要向四大律所缴纳费用以通过设立审计和年度审计. 而前面说的那些成本, 其实都隐含在审计中. |
|
12
chinvo 2021-06-05 15:03:59 +08:00 via iPhone
所以成本最低的办法是买个 white label 或者 managed intermediate CA
|
 |
13
moult 2021-06-05 15:19:30 +08:00
GTS 是 GlobalSign 颁发的中级 CA,GlobalSign 负责联系各大操作系统以信任它的根证书,这样 GTS 颁发的证书就能被操作系统信任了。
新 CA 最大的问题还是在浏览器信任,所以只能找现有的 CA 做交叉信任。 ZeroSSL 也是同样,作为新兴的免费 CA,找 USERTrust 购买了中级证书,就能立即开张做生意了。 |
|
14
moult 2021-06-05 15:22:21 +08:00
如果你要在可控的范围内做权威 CA 的,比如公司内部,可以自己签发根证书,然后再所有的设备上手动信任即可。
MacOS 的话,可以使用 XCA 软件,可视化创建,比 OpenSSL 来的方便 https://www.hohnstaedt.de/xca/ |
 |
15
churchmice 2021-06-05 19:03:22 +08:00 via Android
我自己是用 xca 管理的,不花一分钱
|
Select Language