V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
learningman
V2EX  ›  问与答

如果想要个人自己建一个权威 CA,成本大概多少,需要哪些途径?

  •  
  •   learningman · 2021-06-05 13:08:59 +08:00 · 2751 次点击
    这是一个创建于 1273 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天翻证书链,发现 Google 的 CA 的中间证书还有半年就要到期了。

    突发奇想,如果我想自己建一个权威 CA 给自己发证书,要花多少钱?

    第 1 条附言  ·  2021-06-05 15:21:25 +08:00
    谢谢大家提供的信息,那么购买一张中级证书成为 RA 需要多少成本呢?
    第 2 条附言  ·  2021-06-05 15:24:12 +08:00
    我找到了 GeoTrust 的文档 https://archive.is/q01DZ

    To purchase GeoRoot you must meet the following minimum requirements:
    - Net worth of $5M or more
    - A minimum of $5M in Errors and Omissions insurance
    - Articles of Incorporation (or similar) and an incumbency certificate provided
    - A written and maintained Certificate Practice Statement (CPS)
    - A FIPS 140-2 Level 2 compliant device (GeoTrust has partnered with SafeNet, Inc.) for key generating and storing your root certificate keys
    - An approved CA product from Baltimore/Betrusted, Entrust, Microsoft, Netscape or RSA

    我觉得还是放弃的好。。。
    15 条回复    2021-06-05 19:03:22 +08:00
    lianyue
        1
    lianyue  
       2021-06-05 13:13:31 +08:00
    最快的方法就是找一个权威的收购 看看 市值就找到了
    TyteKa
        2
    TyteKa  
       2021-06-05 13:14:40 +08:00   ❤️ 1
    CA 的安全级别不是一个一般人能够达到的。可参考 https://www.zhihu.com/question/22260090/answer/648910720
    iBugOne
        3
    iBugOne  
       2021-06-05 13:19:50 +08:00
    权威 CA 是不可能的,但是如果只是自己建一个 CA 给自己发证书的话,一分钱都不用,各种工具(尤其是 openssl 命令行)就可以直接开干
    learningman
        4
    learningman  
    OP
       2021-06-05 13:30:35 +08:00
    @TyteKa #2 看了一下,感觉我想要的是个 RA,就是能给自己签证书就行。
    tia
        5
    tia  
       2021-06-05 13:31:43 +08:00
    要同时取得微软、谷歌、苹果、Mozilla 、甲骨文等的信任
    mxT52CRuqR6o5
        6
    mxT52CRuqR6o5  
       2021-06-05 13:45:53 +08:00 via Android
    我记得之前好几个 ca 的收购都价值几亿美金以上这样子吧
    权威 CA 最重要的就是信用,要证明自己的信用可不便宜哦
    Tink
        7
    Tink  
       2021-06-05 14:30:50 +08:00 via Android
    自己签证书不要钱,0 成本,会敲命令就行了
    zanxj
        8
    zanxj  
       2021-06-05 14:39:14 +08:00
    印证了什么叫无知者无畏[狗头]
    nightwitch
        9
    nightwitch  
       2021-06-05 14:42:13 +08:00
    0 成本,用 openssh 生成个根证书然后想签多少签多少。

    想要取得操作系统厂商和浏览器厂商的信任的话洗洗睡吧,不是靠一个人能搞定的。
    Jirajine
        10
    Jirajine  
       2021-06-05 14:55:45 +08:00 via Android
    你可以顺便搞个操作系统 /浏览器的发行版,然后信任自己的 CA 。
    chinvo
        11
    chinvo  
       2021-06-05 14:59:34 +08:00 via iPhone
    最大成本是楼上说的管控成本, 其次是审计成本. 或者说, 其实所有主要成本都是审计成本.

    有个机构叫 CA/浏览器论坛 Certification Authority Browser Forum. 标准化了认证流程. 可以看一下这个机构发布的标准文件. 其中“最重要”的是, CA 机构需要向四大律所缴纳费用以通过设立审计和年度审计. 而前面说的那些成本, 其实都隐含在审计中.
    chinvo
        12
    chinvo  
       2021-06-05 15:03:59 +08:00 via iPhone
    所以成本最低的办法是买个 white label 或者 managed intermediate CA
    moult
        13
    moult  
       2021-06-05 15:19:30 +08:00
    GTS 是 GlobalSign 颁发的中级 CA,GlobalSign 负责联系各大操作系统以信任它的根证书,这样 GTS 颁发的证书就能被操作系统信任了。
    新 CA 最大的问题还是在浏览器信任,所以只能找现有的 CA 做交叉信任。
    ZeroSSL 也是同样,作为新兴的免费 CA,找 USERTrust 购买了中级证书,就能立即开张做生意了。
    moult
        14
    moult  
       2021-06-05 15:22:21 +08:00
    如果你要在可控的范围内做权威 CA 的,比如公司内部,可以自己签发根证书,然后再所有的设备上手动信任即可。
    MacOS 的话,可以使用 XCA 软件,可视化创建,比 OpenSSL 来的方便 https://www.hohnstaedt.de/xca/
    churchmice
        15
    churchmice  
       2021-06-05 19:03:22 +08:00 via Android
    我自己是用 xca 管理的,不花一分钱
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2488 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:21 · PVG 09:21 · LAX 17:21 · JFK 20:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.