自定义SSL证书授权？

Question

我可以在浏览器中添加自定义SSL证书颁发机构吗？

我们使用了许多内部网址，例如

http://www.somproject.somebranch/用于处理各个分支

如果有一些我可以添加到我的浏览器/操作系统的服务会让我使用单个证书（或轻松生成证书）用于非真实域，那将会很酷。这是否存在，或者这只是一个#firstworld问题？

Answer 1

自定义CA的要点是您必须自己创建（特别是作为CA证书的私钥的持有者）。将任何可用的CA证书导入您的浏览器意味着拥有其私钥的任何人都可以发布您的浏览器识别的证书（通常用于任何站点，除非有特定的策略）。

有一些管理CA的工具：

• OpenSSL's CA.pl：这是OpenSSL附带的脚本。它非常基本，但可高度配置（通过openssl.cnf）。
• TinyCA是OpenSSL的前端，可帮助您使用GUI管理证书。它比CA.pl更容易管理。
• OSX comes with its own interface in Keychain.app。
• this Security.SE question中列出了许多其他工具：EJBCA，OpenCA和XCA。

一般来说，大多数努力工作都是行政部门（不是系统管理员，而是文书工作）。如果只是为了你，EJBCA或OpenCA可能会有点过分。