Autorité de certification SSL personnalisée?

Question

Existe-t-il une autorité de certification SSL personnalisée que je peux ajouter à mon navigateur?

Nous utilisons beaucoup de urls internes comme

http://www.somproject.somebranch/ pour travailler sur les branches individuelles

Ce serait cool s'il y avait un service que je pourrais ajouter à mon navigateur/OS qui me laisser utiliser un cert (ou générer facilement des certificats) pour des domaines non réels. Est-ce que cela existe, ou est-ce juste un problème #firstworld?

Answer 1

Le point d'une AC personnalisée est que vous devez le créer vous-même (en étant le détenteur de la clé privée pour le certificat CA, en particulier). Importer juste n'importe quel certificat CA disponible dans votre navigateur signifierait que n'importe qui avec sa clé privée pourrait émettre des certificats reconnus par votre navigateur (habituellement pour n'importe quel site, à moins qu'il y ait une politique spécifique).

Il y a quelques outils pour gérer un CA:

• OpenSSL's CA.pl: il est un script qui vient avec OpenSSL. C'est assez basique mais hautement configurable (via openssl.cnf).
• TinyCA est un frontal pour OpenSSL qui vous aide à gérer vos certificats avec une interface graphique. C'est un peu plus gérable que CA.pl.
• OSX comes with its own interface in Keychain.app.
• Il existe un certain nombre d'autres outils répertoriés dans this Security.SE question: EJBCA, OpenCA et XCA.

La plus grande partie du dur travail est la partie administrative (pas tellement sysadmin, mais paperasse) en général. Si c'est juste pour vous, EJBCA ou OpenCA peut être exagéré.