Приветствую всех.

Ранее создавалась тема: Сертификаты SSL на web сервер.

Решение проблемы следующее:

Создан самозаверенный сертификат, который добавлен в сертификаты web сервера, на основании него, созданы дочерние сертификаты для каждого юзера. все работает, но пишет, что подключение "не защищено" и это правильно, сертификат то самозаверенный.

Подскажите пожалуйста кто в курсе:
1. Какой сертификат нужно купить, чтобы создавать дочерние сертификаты.
У меня вообще складывается впечатление, что это невозможно, т.к. весь интернет трафик через ssl, аккумулируется и оседает в базах данных тех воротил, которые эти сертификаты и "заверяют", так сказать на потом. Потому что при создании дочернего сертификата будет новый зашифрованный трафик, который они контролировать не смогут или придется тратить время на расшифровку.

2. Есть у кого то подобные решения, как заблокировать/разрешить конкретного пользователя на уровне вэб сервера не используя ручную авторизацию и vpn?

(0) Тонким клиентом не получилось? Зачем браузер использовать?

(1) тонкий отпадает, не подходит.

(2) причины?

(3) ))) зачем тему в другое русло переводить? Давай закроем это ответвление. Есть причины, нужен веб-клиент, чтобы работать без установки 1С на разные ОС.

(0) Ну так поднимайте свой RootCA, делайте сертификаты как угдно, если боитесь покупать wildcard у других.

(0) Зачем покупать? Чем "Let's Encrypt" не подходит?

(5) В браузере валидность не пройдет

wildcard не решает проблему. Он не позволяет создавать дочерние сертификаты, в том то и дело, он распространяется на субдоменты и только.

(6) OpenSLL создает сертификаты из 1С. все устраивает в принципе. Не устраивает красная надпись "НЕ ЗАЩИЩЕНО", которую во все браузеры засунули. С таким же успехом, могли бы тогда поставить ALARM сирену при работе по HHTP:80

(9) *OpenSSL, очепятка

(9) А нельзя в вебсервер воткнуть 2 сертификата? 1 для домена (купить в центре сертификации), а второй самоподписной для авторизации.

(6) Я думаю к нему тоже скоро "доверие" выключат.

(11) Насколько я знаю, в привязках на 443 порт привязывается только один сертификат для верификации.

(13) А вот и нет.
https://www.opennet.ru/base/sec/ssl_cert.txt.html
Читать ниже "Запрос и проверка клиентских сертификатов."

(14) Интересно, спасибо, надо будет кумекать как подобное настроить на IIS (apache использовать не вариант, так сложилось)

+ (14) Вроде как можно https://toster.ru/q/187473

(16) Вот это скорее больше подходит:
https://habrahabr.ru/post/249503/

Пока что я склоняюсь к тому, что "зеленый HTTPS" получить нельзя, без получения сертификата сервера и сертификата клиента от доверенных центров.

(7) правильно, в браузере надо устанавливать корневой сертификат СА

(18) Что бы зеленый был нужен только сертификат сервера.
https и авторизация - это 2 разные части.
https - ты организуешь за счет сертификата сервера от центра сертификации, а авторизацию по самоподписанным сертификатам

(18) на делай https://habrahabr.ru/post/192446/

(19) Меня тоже такая мысль посещала.
(0) Ты как сертификаты сложил? ca.crt импортировал клиенту или только клиентский?
Для браузера различия валидность проверяется на список валидных из своего списка. Для хрома это виндовое хранилище сертификатов.

(12) это не китайская "поделка", а совместное дело - Cisco, EFF, Mozilla, и прочих гигантов, так что - не отключат. На самом деле очень удобно - лимит регистраций - 200 доменных сертификатов на 1 емейл, Один раз сделал, настроил - и всё, оно дальше само будет работать и и обновляться. Удобно очень, я б рекомендовал воспользоваться :)

наверное можно всех в домен и там свой в доверенные добавить

Я все еще не успокоился :)
Судя по http://www.r-notes.ru/administrirovanie/sluzhby/113-avtorizatsiya-po-ssl-sertifikatam.html
Можно взять сертификат и ключ выданный центром сертификации, и подписать им любой клиентский сертификат.
То есть создаете клиентские сертификаты сколько нужно и подписываете их своим валидным.