Questão Como confiar em um certificado autoassinado sem confiar na CA?


Então, eu gerei um rootCA e assinei um certificado para * .a.com, como posso confiar no certificado resultante no Firefox / Chrome, sem confiar diretamente na CA?

Observe que adicionar uma exceção (uma vez) não é suficiente nesse caso, pois há vários domínios.


1


origem




Respostas:


Como o certificado não é emitido por uma CA confiável, você receberá o erro para cada domínio ao qual o certificado curinga se aplica. O Firefox armazena as exceções de certificado com o domínio como chave, não o certificado, por isso ele pedirá que você faça uma exceção para cada domínio (mesmo com um certificado curinga).

Se você não quiser confiar na autoridade de certificação diretamente, peça ao proprietário da autoridade de certificação para criar um certificado de autoridade de certificação intermediário, que pode ser usado para emitir certificados. Você pode então adicionar a CA intermediária em seu navegador. (ou você poderia simplesmente criar uma nova autoridade de certificação)


0



Isso responde a sua pergunta? - mtak


Existem duas abordagens possíveis:

  1. Adicione explicitamente o certificado ao gerenciador de certificados do navegador. Como o Chrome e o Firefox usam o NSS como biblioteca SSL, isso pode ser feito usando o seguinte comando (para o Chrome):

    certutil -d sql:$HOME/.pki/nssdb -A -t "P,," -n SomeCertificateName -i /path/to/certificate

  2. Emitir um certificado subCA limitado pelo nameConstraint extensão, para que a subCA só possa emitir certificados com a.com sufixo. Agora confie apenas nesta subcaixa. Este artigo explica essa abordagem.

0