是否可以购买中级证书来使用它来签署子域证书? 它必须被浏览器识别,我不能使用通配符证书。
目前search没有任何结果。 有人发出这样的证书吗?
问题是,目前使用的基础设施和实施不支持仅限于一些(子)域的中间证书。 实际上,这意味着您可以使用任何中间证书来签署您想要的任何证书,并且浏览器将信任它,即使这将是您不拥有的域的证书。
因此,这样的中间证书只给予真正值得信赖的组织,无论这意味着什么(但可能涉及大量的资金)。
不,因为这将违反原始证书 – 浏览器会信任你的证书,你可以开始发布google.com等的东西 – 如果你这样做聪明,你会不容易得到。
中级证书颁发机构有很大的权力。 中间CA是证书签名机构 – 通过根证书信任 – 并且规范中没有任何内容允许限制从属CA.
因此,没有有信誉的证书组织会给你一个。
有可能从GeoTrust购买有效的CA.
我无法在英文页面上find该产品,但是这是一个归档版本:
要购买GeoRoot,您必须满足以下最低要求:
- 净值500万美元或更多
- 错误和遗漏保险至less500万美元
- 公司章程(或类似)和在职证书提供
- 书面和维护的证书操作声明(CPS)
- FIPS 140-2 Level 2兼容设备(GeoTrust与SafeNet,Inc.合作)用于密钥生成和存储您的根证书密钥
- 经巴尔的摩/ Betrusted,Entrust,Microsoft,Netscape或RSA认可的CA产品
该产品仍然可以在他们的德语页面上find:
http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/
(这是一个老问题的新答案,因为我相信这有助于理解证书和CA背后没有“魔术”)
作为@Steffen Ullrich给出的批准答案的延伸
整个证书来识别网站的事情只是一个大钱的生意。 X509证书由RFC5280定义(除其他外),任何人都可以是根CA或中间CA,这一切都取决于您对该实体的信任。
例如:如果您位于Active Directory域中,则默认情况下,您的主域控制器是受信任的根证书颁发机构。 同时,绝对没有其他第三方参与。
在广泛的互联网上,问题是要确定“谁可以信任”,因为它比单个公司要大得多。 因此,浏览器供应商提供一个自定义的根CA的任意列表,它将信任而不会提示您的同意。
即:如果您与Mozilla基金会有非常好的关系,那么您自己的任意自签名根CA可以添加到他们的Firefox浏览器的下一个版本的列表中…只是因为他们决定!
而且,没有定义行为的RFC和关于浏览器应该如何处理证书的规则。 这是暗示的共识,因为证书的“CN”等于域名,它应该是匹配的。
因为这在某些时候还不够,所以浏览器供应商都隐含地认为*.domain.com
.domain.comforms的通配符证书将匹配任何子域。 但它只匹配一个级别:没有sub.sub.domain.com
为什么呢? 因为他们只是这样决定的。
现在关于你的原始问题,什么可以防止你的主域名证书被允许为你自己的子域名创build子证书,这是一个浏览器检查的简单过程,只是获取证书链。
答案是:什么都没有
(除了技术上你应该在自己的域名证书中有一个“标志”来做这件事)
如果他们发现这个方便的话,那么这些交易商可能会决定支持它。
不过,回到我的第一个说法,这是大笔的生意。 所以与浏览器供应商签有协议的那些less数根CA会花费大量的资金出现在这个列表中。 而今天,他们拿回了这笔钱,因为你必须为每个单独的子域名证书付费,或者得到一个更昂贵的通配符。 如果他们允许你创build自己的子域名证书,这将大大减less他们的利润。 所以这就是为什么从今天起,你不能这样做。
那么,你仍然可以,因为这将是有效的X509证书,但没有任何浏览器会认出它。