2
Eigene CA in Certificate Chain?
Hallo Forum
Ich bin noch nicht so bewandt mit Cert. und CAs, deshalb verzeiht meine Basic-Fragen.
Also: ich habe mein eigene Domain (nennen wir die hier jetzt mal mydomain.ch), welche ich auch komplett selbst betreibe (DNS, Web, etc.), aber nicht für kommerzielle Zwecke.
Ich habe mehrere Subdomains (mail.mydomain.ch, svn.mydomain.ch, ...), welche per SSL verschlüsselt werden.
Bis jetzt sind dort nur self-signed-Zertifikate drauf, was natürlich jedesmal eine Warnung generiert.
Nun habe ich mir überlegt, ob ich mir nicht EIN EINZIGES Zertifikat von z.B. StarSSL (https://www.startssl.com/?app=1) für mydomain.ch ausstellen lassen kann, und dann für die Subdomains (z.B. mail.mydomain.ch) selbst die Zertifikate ausstellen kann, so dass ich eine vollständige und gültige Cerficate Chain habe.
Die Chain könnte dann z.B. so aussehen:
- StartSSL (Root CA)
-- mydomain.ch (eigene CA, trusted durch StartSSL)
--- mail.mydomain.ch (trusted durch eigene CA)
Was spricht dagegen?
Oder mach ich da ein kapitaler Denkfehler?
Noch um das klarzustellen:
Ich will KEINE eigene Root CA, wo ich nachher auf den Clients das Root CA eintragen müsste!
Gruss
lousek
Ich bin noch nicht so bewandt mit Cert. und CAs, deshalb verzeiht meine Basic-Fragen.
Also: ich habe mein eigene Domain (nennen wir die hier jetzt mal mydomain.ch), welche ich auch komplett selbst betreibe (DNS, Web, etc.), aber nicht für kommerzielle Zwecke.
Ich habe mehrere Subdomains (mail.mydomain.ch, svn.mydomain.ch, ...), welche per SSL verschlüsselt werden.
Bis jetzt sind dort nur self-signed-Zertifikate drauf, was natürlich jedesmal eine Warnung generiert.
Nun habe ich mir überlegt, ob ich mir nicht EIN EINZIGES Zertifikat von z.B. StarSSL (https://www.startssl.com/?app=1) für mydomain.ch ausstellen lassen kann, und dann für die Subdomains (z.B. mail.mydomain.ch) selbst die Zertifikate ausstellen kann, so dass ich eine vollständige und gültige Cerficate Chain habe.
Die Chain könnte dann z.B. so aussehen:
- StartSSL (Root CA)
-- mydomain.ch (eigene CA, trusted durch StartSSL)
--- mail.mydomain.ch (trusted durch eigene CA)
Was spricht dagegen?
Oder mach ich da ein kapitaler Denkfehler?
Noch um das klarzustellen:
Ich will KEINE eigene Root CA, wo ich nachher auf den Clients das Root CA eintragen müsste!
Gruss
lousek
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201638
Url: https://administrator.de/contentid/201638
Printed on: April 26, 2024 at 11:04 o'clock
2 Comments
Latest comment
Hi
Das einfachste ist ein Wildcard Zertifikat. Das gilt für alles was innerhalb deiner Domain ist *.domain.ch).
Gibts bei fast jedem Zertifikatsanbieter.
LG
Das einfachste ist ein Wildcard Zertifikat. Das gilt für alles was innerhalb deiner Domain ist *.domain.ch).
Gibts bei fast jedem Zertifikatsanbieter.
LG
Hallo,
nein, das geht nicht.
Bei Zertifikaten, die du von einer CA bekommst sind die möglichen Verwendungen eingeschränkt, das Signieren von eigenen Zertifikaten ist damit nicht möglich.
Wenn es dir nur um Subdomains geht, funktioniert ein Wildcard-Zeritifkat für *.yourdomain.ch, wie von catachan beschrieben - leider gibt's die nicht umsonst.
Gruß
Filipp
nein, das geht nicht.
Bei Zertifikaten, die du von einer CA bekommst sind die möglichen Verwendungen eingeschränkt, das Signieren von eigenen Zertifikaten ist damit nicht möglich.
Wenn es dir nur um Subdomains geht, funktioniert ein Wildcard-Zeritifkat für *.yourdomain.ch, wie von catachan beschrieben - leider gibt's die nicht umsonst.
Gruß
Filipp