我已经写了一个小程序,运行在Windows计算机上,通过端口443向访问Web浏览器提供SSL / TLS网页。 我希望非技术人员可以轻松安装和运行此程序。 我已经很容易在程序中创build自签名证书或证书签名请求,但是我认为他们将很难获得CSR签名并连接到指向其服务器的域名。 我想把这个过程的技术难度降到最低。
我可以购买可以为我的域名的子域名签署证书的SSL证书吗? 像customer1.mydomain.com,customer2.mydomain.com等东西,然后我可以指向我的DNS子域在他们的服务器,并签署他们的证书,并自动化整个过程。 或者,这可能会非常昂贵?
如果没有,除了在我自己的服务器上用* .mydomain.com证书托pipe所有的Web应用程序,我可以给他们设置SSL证书和域名的最简单的解决scheme是什么?
StartCom有一个中级证书颁发机构计划 。 根据链接的网站,这个程序是针对那些签发1,000个或更多证书的人,平均成本大约是每个发行证书$ 2。
可悲的事实是,你的目标是技术上可能的,如RFC 2459第4.2.1.11节中定义的x.509名称约束allowedSubtrees属性 ,但很难find任何CA愿意为你提供这样的证书。
有些人不会这样做,因为认为一次卖给你这样的证书不如多次向你销售大量的每个主机证书。
有些不会因为自负的智慧监pipe要求或外部各方的要求。
关于一家大型电信运营商的证书链,已经签署了一个国家研究networking的中间CA,然后向大学颁发了CA证书,这是一个非常令人伤心的故事。 虽然这听起来并不令人难过,但悲伤起源于前面提到的电信提供商的一个勇敢的人试图获得Mozilla Firefox中的证书和信任链 – 经历了4年的讨论,评论,误解和更多的讨论它终于被包括在内了。
您可以购买的主要是一些“托pipe服务”,您可以使用CA的界面随意或多或less地创build新的证书。 当然,这通常会预先花费很多钱,而且您可能会额外收取每个已颁发证书的费用。
您打算的问题是,主CA(Verisign,Thawte等)无法约束从属CA(您正在查找的内容),只能为特定域指定证书或对其有效。 链接到有效根的下级CA将能够为整个Internet创build证书。 这就是为什么你不能从任何人获得一个从属CA证书,而是你自己创build的一个根CA.
如果没有来自其中一个大的证书供应商的wildcart证书,你不能做你正在寻找的东西。 那些可以买,不像从属的CA证书。