假设我有一个对example.com有效的证书(由一个已知的SSL供应商提供支持)。 我希望能够有一个testing版本的域名test.example.com,这也是一个SSL证书保护,但我想这样做没有支付商业证书(我知道有“免费“证书,但几乎所有的人都有时间限制,这不适合我)。
从证书中创build链式证书显然是可能的。 我想知道的是,浏览器是否会认识到链接证书是有效的。
请注意,example.com的证书是SAN证书,涵盖了docs.example.com,example.org等其他域。
理想情况下,我希望链接的证书也是一个SAN证书,并提供每个域的testing类比:test.example.com,test.docs.example.com,test.example.org等
我知道我需要一个单独的IP地址作为testing证书。
顺便说一句,这是在Apache和CentOS上。
我想知道的是,浏览器是否会认识到链接证书是有效的。
他们都没有。 在您的证书中,它具有证书基本约束下的条目:
Not Critical Is not a Certification Authority 一旦浏览器将其视为中间证书,就会拒绝您“签名”的证书。
您不能从您的example.com证书颁发更多的证书。 检查其x509基本约束字段。 每个受信任的CA颁发给客户端的证书都应该始终具有CA:FALSE约束(尽pipe最近, 一家主要的CA被承认向发布证书的客户端移除了此限制 )。
如果您需要使用您制作的证书进行testing,则需要制作自己的CA并将其信任在客户端浏览器中。
如果您已经购买了您的证书,那么运气好极了。 如果不是,请考虑购买通配符或在CSR中添加“主题备用名称”属性。 大多数CA都会很高兴地签名,而不会对您收取额外的费用。