我想要在我的域中使用SSL的子域名。 主要区别在于每个子域由不同的公钥/私钥对托pipe。
我举个例子来说明一下:
从我所收集的信息来看,这意味着我需要创build一个CA,这很好。 问题是,从我记得,一个CA需要一个特殊types的SSL证书。 我怎么去得到这个?
鉴于你对我上面的评论的回答,我同意Ladadadada。 创build一个CA非常简单,但让其他人信任它却很困难:要么将CA根证书分发给每个CA(这是你不能做的,因为你已经确认他们是随机的最终用户) ,或者您需要让浏览器制造商将其纳入标准的可信任捆绑包(并祝您好运)。
既然你不想只告诉每个子域名的所有者自己去做,我唯一可以看到的select就是让每个子域名的所有者生成一个CSR,然后你作为一个中央交换所,提交每个子域CSR到authentication机构。
许多大型SSL证书公司都有一个政策,可以通过一次性漫长的stream程来build立自己对(例如) example.com权威性,但是一旦完成,您为example.com内的任何内容做出的应用程序显然的确经历得非常快。
我不使用Verisign(或赛门铁克,现在也是如此),即使我这样做也不会认可他们。 我简单地链接到他们,这样你就可以看到一个这样的安排的例子: 赛门铁克的门户网站让你自己成为一个域的权威 (“主要function”包括“在预先认可的域上即时颁发证书”)。 如果您决定采取这种方式,您应该购物并select适合您的SSL证书颁发者。
你可以采用这两种方式,这两种方式都不涉及你成为一个CA. (我想成为一个CA也是一个可行的select,它只是没有帮助解决你的问题,它带来了额外的费用和风险。)
选项1具有将您的私钥分发给许多人的明显风险。 如果它出来,你会希望让你的CA发行一个经常花钱的撤销。 选项2.意味着每次创build子域时都要经历获取新证书的过程。 这不会很快,但应该在几个小时。