Puis-je acheter un certificat pour mon domaine qui peut signer d'autres certificats pour les sous-domaines?

J'ai écrit un petit programme à exécuter sur un ordinateur Windows qui sert des pages Web SSL / TLS via le port 443 aux navigateurs Web en visite. Je veux qu'il soit facile pour les personnes non techniques d'installer et d'exécuter ce programme. Je leur ai facilité la création d'un certificat auto-signé ou d'une demande de signature de certificat dans le programme, mais je pense qu'ils auront du mal à faire signer la CSR et à la connecter à un nom de domaine qui pointe vers leur serveur. Je veux réduire au minimum la difficulté technique de ce processus.

Puis-je acheter un certificat SSL qui peut signer des certificats pour les sous-domaines de mon nom de domaine? Quelque chose comme customer1.mydomain.com, customer2.mydomain.com, etc., puis je pourrais pointer mes sous-domaines DNS vers leurs serveurs et signer leurs certificats pour eux et automatiser l'ensemble du processus. Ou peut-être que cela coûterait très cher?

Sinon, à part héberger toutes leurs applications Web sur mon propre serveur avec un certificat * .mydomain.com, quelle est la solution la plus simple que je puisse leur donner pour configurer les certificats SSL et les noms de domaine?

StartCom dispose d'un programme d'autorité de certification intermédiaire . Selon le site lié, le programme est destiné à ceux qui délivrent 1 000 certificats ou plus et le coût moyen est d'environ 2 $ par certificat délivré.

La triste vérité est que ce que vous visez est techniquement possible avec l'attribut x.509 Name Constraint allowedSubtrees tel que défini dans la RFC 2459 Section 4.2.1.11 , mais vous ne trouverez pratiquement aucune autorité de certification prête à vous fournir un tel certificat.

Certains ne le feront pas en raison de l'idée que vous vendre un tel certificat une fois n'est pas aussi bon que de vous vendre beaucoup de certificats par hôte plusieurs fois.

Certains ne le seront pas en raison d'exigences réglementaires auto-engagées ou de exigences de parties externes.

Il y a une histoire très très triste à propos de la chaîne de certificats d'un grand fournisseur de télécommunications qui a signé des AC intermédiaires pour un réseau national de recherche qui, à son tour, a délivré des certificats d'AC aux universités. Bien que cela ne semble pas encore très triste, la tristesse commence lorsqu'un homme courageux du fournisseur de télécommunications susmentionné a essayé d'obtenir le certificat et la chaîne de confiance inclus dans Mozilla Firefox - cela a pris 4 ans de discussions, de critiques, de malentendus et encore plus de discussions avant il a finalement été inclus.

Ce que vous pouvez acheter est principalement un "service géré" où vous utiliseriez les interfaces de l'autorité de certification pour créer plus ou moins de nouveaux certificats à volonté. Bien sûr, cela coûtera généralement beaucoup d'argent à l'avance et vous serez probablement facturé en plus pour chaque certificat délivré.

Le problème avec ce que vous envisagez est qu'il n'y a aucun moyen pour une autorité de certification principale (Verisign, Thawte, etc.) de contraindre une autorité de certification secondaire (ce que vous recherchez) à n'attribuer que des certificats ou à être valide pour un domaine spécifique . Une autorité de certification subordonnée qui s'enchaîne à une racine valide pourra créer des certificats pour l'ensemble d'Internet. C'est pourquoi vous ne pouvez pas obtenir de certificat d'autorité de certification secondaire auprès d'une autre autorité de certification que vous créez vous-même.

Vous ne pouvez pas faire ce que vous cherchez sans un certificat générique de l'un des grands fournisseurs de certificats. Ceux-ci peuvent être achetés, contrairement aux certificats CA subordonnés.