问网络广域CA

EN

是的，这很容易:您应该从一个公认的CA购买所有证书。不过，您的CA尚未被识别。

不，没有魔法。每个证书必须有一个信任根，即操作系统供应商信任的CA。这意味着什么:所有受信任的CA的证书都随操作系统一起提供。您的证书是由您的私有CA颁发的，您的CA证书必须作为“受信任的第三方”安装在每个设备上。

要了解供应商强加于CA的需求，请看一下微软可信根证书

除非您的CA未被识别为Microsoft认证CA，否则您必须或多或少手动安装证书。

我建议将CA证书安装为“受信任的第三方”，然后由您的CA颁发的所有证书都将自动被信任。

是否可以创建一个不需要手动添加到每个连接设备的网络范围的证书颁发机构。

技术上来说，是的，这是可行的。在实践中，通过Internet PKI很难让您的根CA被信任，因为它非常昂贵，并且需要真正的原因(动机)。一般来说，有两种选择：

1. 您的根CA证书包含在共同信任的根列表中(包括Microsoft、Mozilla、Google等)。每个根程序可能不同，可以收费，也可以不收费。尽管某些程序(如Microsoft )不向您收取包含的费用，但它在满足要求方面将是昂贵的。例如，您将需要制定证书策略、证书实践声明并通过年度外部审核。不用说，您将不得不花费大量的钱在硬件，例如，HSM (硬件安全模块)。
2. 您正在购买全局受信任根下的从属CA证书。一些全球受信任的商业CA向持有大量证书的公司提供这一选择。我的文章中的更多细节：https://www.sysadmins.lv/blog-en/certification-authority-root-signing.aspx