是否可以使用SSL证书作为中间CA证书？

Question

我在Android上设置了一个MITM测试环境，我需要伪造假证书然后呈现给应用程序。为了达到这个目的，我需要我的CA成为Android可信任的CA之一，这意味着我必须手动安装我的CA证书。

我想避免这个特殊的步骤。

我正在考虑获得由GoDaddy或GeoTrust发布的合适的（=购买）证书，这些证书都是由Android信任的。但是，那么我将不得不使用这个证书作为伪造伪造证书的中间CA。

可能吗？有没有我没有考虑到的逻辑/实践限制？

Answer 1

这取决于在证书中设置的扩展名以及软件是否正确检查它们。例如，“证书密钥用法”扩展指定密钥是否可用于签署其他证书。证书基本约束扩展指定主体是否可以充当证书颁发机构，以及证书的级别低于何种级别。

正常的SSL证书不应具有充当CA证书的必要扩展名。这意味着你的方法很可能不起作用。