是否有可以添加到浏览器的自定义 SSL 证书颁发机构?
我们使用很多内部网址,例如
http://www.somproject.somebranch/用于在各个分支上工作
如果有一些服务可以添加到我的浏览器/操作系统中,这将让我对非真实域使用单个证书(或轻松生成证书),那就太酷了。这是否存在,或者这只是#firstworldproblem?
问问题
4044 次
1 回答
6
自定义 CA 的重点是您必须自己创建它(特别是作为 CA 证书的私钥持有者)。将任何可用的 CA 证书导入您的浏览器意味着任何拥有其私钥的人都可以颁发您的浏览器识别的证书(通常适用于任何站点,除非有特定的策略)。
有一些工具可以管理 CA:
- OpenSSL's
CA.pl:它是 OpenSSL 附带的脚本。这是非常基本但高度可配置的(通过openssl.cnf)。 - TinyCA是 OpenSSL 的前端,可帮助您使用 GUI 管理证书。它比
CA.pl. - OSX 在 Keychain.app 中带有自己的界面。
- 此 Security.SE 问题中列出了许多其他工具:EJBCA、OpenCA 和 XCA。
一般来说,大部分艰苦的工作是管理部分(不是系统管理员,而是文书工作)。如果它只适合您,那么 EJBCA 或 OpenCA 可能会过大。
于 2012-04-13T16:09:58.623 回答