1

我可以为域 A 购买一个 SSL 证书并以域 A 作为参考签署我所有的其他域吗?

它会起作用吗?

4

4 回答 4

1

您当然可以安装这些证书。然而,与自签名证书一样,主要问题是由于验证链损坏,浏览器无法验证它们。

简而言之:它不会按您的意愿工作。

于 2012-11-13T14:44:29.507 回答
1

不,你不能。SSL 证书是根据特定的允许用途(在证书中编码)颁发的。这不包括签署其他证书。

因此,尽管您在技术上将能够使用证书 A 的密钥为其他域签署证书,但此类签署的证书将不会被正确验证并且无法工作。

于 2012-11-13T14:58:03.063 回答
0

我认为您正在寻找通配符证书。为 *.mydomain.com 颁发证书将对 sub1.mydomain.com、sub2.mydomain.com 等有效。

如果您希望获得 mydomain.com 的证书并使用它为 otherdomain.com 生成证书,那将无法正常工作。

仅供参考,据我所知,通配符证书要贵得多。

编辑:重读你的问题,你想做第二个选择,不,你不能那样做。您最终会得到一个无效的证书,并且大多数浏览器都会发出巨大的警告信号,表明该证书不是来自受信任的来源。它会将您的域 A 证书引用为受信任的签名者,但事实并非如此,即使它是由链上的受信任签名者颁发的。如果您想做的事情是可能的,那么整个受信任的签名者/TLS 基础设施将毫无用处。(基本 TLS 的实用性作为验证您正在与谁打交道,您认为您的交易是值得商榷的,因为获得证书是微不足道的/便宜的。因此存在扩展验证证书。)

于 2012-11-13T14:45:43.033 回答
0

您不能从您的证书签署更多证书。否则,您可以在自己的合法 SSL 证书下签署类似 www.paypal.com 之类的东西 - 这在一次黑帽会议上通过 MITM 攻击证明是可能的,但此后这已成为不可能。

但是,您可以获得多域证书。这些证书允许您在 SAN 字段(主题备用名称)中包含其他域。因此,证书是为单个域生成的,并且在您的 SSL 提供商的注册过程中添加了其他域。您需要验证您请求的每个域的所有权。

这些证书允许您使用一个 SSL 证书在单个 IP 上托管多个 FQDN。

此外,还有通配符证书,但这些证书只能让您使用单个证书保护 *.domain.com。

于 2012-11-17T17:31:44.710 回答