为了certificateSSL证书和可链接的密钥的性质,我可以根据为通配符子域颁发的主域证书和密钥生成子域的证书吗?
这里的做法是,我必须为一个子域设置一个新的完全不同的远程(物理)服务器,并且要将主证书和密钥的风险最小化,以防万一。
我可以使用openssl实用工具来提供我的主域名,通配符证书和密钥吗?还是应该再次由CA来辞职? 如果可以,怎么样?
谢谢
首先,我同意传播通配符证书是一个坏主意。 最佳做法是使用单独的证书(当域位于不同的服务器或虚拟主机上)或SAN证书(全部位于同一地点时)。
但是,您应该无法使用现有的证书签署子域的证书。 通常,SSL证书的使用限制如何。 如果你运行openssl x509 -in /path/to/cert.pem -noout -text ,你会看到一个看起来像
X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication
这意味着证书只能用于validationWeb服务器或客户端。 它不能用于签署其他证书(或者,至less,没有客户将信任由此签名的证书)。
您无法做到这一点的原因是,目前没有办法让CA颁发可用于在给定域内签署其他证书的证书。 因此,如果一个可信的CA给你一张你可以用来签署其他证书的证书,他们实际上会给你冒充互联网上其他任何网站的能力。 这将是不好的,这就是为什么他们不这样做。