3

我正在维护一个具有相当大的服务器基础架构的项目。

目前,我正在为不同的子域使用多个 SSL 证书,这并不容易。

对我来说更经济的解决方案是获得一个通配符证书并在我的所有服务器上使用它。

然而,这些服务器分布在全球各地,如果其中一个受到威胁——物理上或通过任何其他方式,秘密证书密钥将落入任何进入系统的人的手中。

在这种情况下,如果我使用通配符证书,密钥泄露的密钥也将是系统所有其他组件的密钥(因为它们具有相同的证书)。

我不想破坏我主要网站的 SSL 安全性,因为一些不重要的边缘服务器已被破坏。

这就是为什么我想知道我是否可以以某种方式为我自己的子域签署我自己的 CSR。

类似于“自助服务顶级域范围的中间证书颁发机构”

有这样的事吗?据我了解,证书颁发机构和中间证书颁发机构不限于其通用名称(域)的特定范围。

但是我知道,例如 Google 会在其网站的特殊部分出于安全目的即时生成证书。

我想知道他们是怎么做到的。还是他们自己的证书颁发机构?

希望问题很清楚,任何帮助都可以得到!

4

3 回答 3

4

我不知道谷歌是否是一个认证机构,我似乎没有找到他们的CA。

无论如何,任何证书颁发机构都不应该提供全球中间 CA。正如预期的那样,有些人这样做了,这导致了滥用。没有办法提供仅限于 CN 的中间 CA,所以不,没有办法做你正在寻找的东西。

不过,它可以通过使用 DANE 来完成,但在许多年后它不会成为主流。见https://www.rfc-editor.org/rfc/rfc6698

于 2013-05-10T16:20:58.393 回答
1

MPKI,托管公钥基础设施将使您能够在预先批准的域上立即创建自己的证书。

我认为这不会为您节省任何钱,但确实可以让您完成您要求的许多项目。

于 2013-05-13T17:49:03.803 回答
1

关于 Google:Google 拥有 GeoTrust 颁发的中间证书。

于 2013-08-07T10:29:05.500 回答