嗨,

我需要一个证书或具有CA属性的从属CA[加上密钥]，我可以安装在我的代理上用于出站SSL连接。因此，每当用户希望连接到互联网外的任何HTTPS网站时，他们都不会收到来自Web浏览器的初始警告，即“无效的CA”。

我在哪里可以买到这个？

非常感谢，您是在说可以从您的网络管理出站连接的代理吗？这不是让我们加密可以或将提供的任何东西，而且肯定超出了本论坛的范围。你需要创建你自己的CA，让你网络上的设备信任它的根目录。这是最简单的部分。困难的部分将是为连接到的任何域动态生成证书(除非它是您已经知道的已定义集)。有一些奇特的企业设备可以做到这一点--这不是一个简单的问题。

困难的部分将是为连接到的任何域动态生成证书(除非它是您已经知道的已定义集)。有一些奇特的企业设备可以做到这一点--这不是一个简单的问题。

额外困难的部分是不会造成完全的安全灾难，也会破坏后来的协议开发，如TLS 1.3。

我听说一些Web浏览器不太喜欢在代理上生成的本地自签名CA[F5]，不，这不是我们加密可以做的事情。它们是公共信任的CA，此请求实际上是允许您颁发恶意(即使您的意图不是)证书。这与我们加密的整个想法背道而驰。我不指望你能找到任何免费提供这项服务的供应商，甚至是低成本的供应商。要做到这一点，正确的方法是创建您自己的CA，您是正确的，在默认情况下，浏览器不会信任它，但假设您是Mitming计算机，并且您实际上有权拦截来自该计算机的流量，则需要将您的CA证书添加到这些计算机上的受信任根存储中。

你试图做的不是一个简单的问题，而是一件更难做好的事情。考虑到您的回复所暗示的总体上您在使用SSL/TLS方面的经验水平，我会以最强烈的语言建议您聘请一位经验丰富的安全专业人员来提供帮助。在当今世界，你应该假设任何如此不安全的设置都会被破坏。如果你的所有代理用户都在同一个网络/活动目录中，你可以尝试创建一个CA证书并将其推送到网络设备(AD绝对可以做到这一点)

或者(如果不使用SSL/TLS代理呢？就像Always On SSLChrome扩展吗？)

谢谢你们，大家好，

我可以肯定的是，我们加密证书在技术上不适合这种使用，在某些情况下，这可能是根据我们加密订户协议吊销证书的原因。

在组织控制所有设备的组织中，人们通常会使用@stevenzhu提到的方法来创建自己的内部CA，并告诉所有设备信任它。然后，拦截代理可以为用户尝试访问的每个域生成证书。有许多代理产品可以配置为以这种方式使用内部CA的密钥。正如@mnordhoff提到的，这种方法还可能造成新的安全风险，因为拦截代理可能无法理解(或执行)随着时间的推移添加到互联网协议中的新加密安全措施。研究人员进行的各种研究表明，拦截代理通常不会强制实施浏览器本应实施的安全措施。

对于组织无法控制客户端设备的情况，我们和浏览器开发人员正在非常努力地确保这是绝对不可能的，而且永远没有办法做到这一点。我们不希望网络运营商有任何方式单方面拦截TLS会话，我们会认为任何这样的机制都是TLS安全模型的完全失败。当您说‘创建CA’时，您的意思是：

在代理上[自签名证书]？

或使用域控制器的内部CA？[有关这方面的更多实施指南的任何建议链接]

谢谢，我的意思是使用本教程在本地安全计算机上创建一个CA

然后创建一个中间CA，将其放到代理上。然后将其(CA和中间CA)推送到使用代理的已连接设备

我不知道确切的过程，因为我从来没有试过这个。

但我认为这不是一个好主意(本地密钥可能会被泄露，并对此网络中的所有用户构成威胁)

谢谢，如果您的代理是为此用途而设计的，代理的开发人员应该提供有关如何创建内部CA的文档，因为这是一种常见的配置。这不仅仅是创建一个单一证书的问题；代理需要能够为它拦截的每个站点创建一个新证书。

有关这一点，请咨询您的特定代理的其他论坛或文档。虽然我们喜欢分享关于PKI技术的信息，但让我们加密吧，这个论坛并不是为了帮助人们创建拦截代理而存在的。我们的所有服务都专门针对终端实体站点颁发公开信任的证书，而不是针对专用网络上的拦截。