题 从根证书(SSL)创建子证书[重复]


这个问题在这里已有答案:

如果我购买签名证书 example.com,然后我可以为其生成子证书 a.example.com 和 b.example.com

这些子证书将具有无法保证隐私的PEM文件。

我是否可以这样做,维护根证书的隐私,同时生成无限数量的一次性子证书,这些证书仍然被原始签名机构认可为有效?


7
2017-07-12 18:44






答案:


不,那不行。

要签署证书,您需要自己的证书 证书颁发机构 证书。您购买的证书是  由证书颁发机构,但具体标记为  作为证书颁发机构证书。

检查证书中的“证书基本约束”,您将看到它“不是证书颁发机构”。


15
2017-07-12 18:57



知道了,这非常有帮助。所以要明确的是,如果我想在浏览器中实现它并拥有合法的,没有错误的经验,我需要一个证书颁发机构证书。我猜这不是我可以轻易买到的东西,对吧? - chrism2671
你当然可以制作自己的CA,但你无法制作 大家的 浏览器识别它。 - Michael Hampton♦
您可以从某些机构购买CA证书,但它们并不便宜。另外,您必须满足一些要求。因此,除非您是一家想要发行至少数百或数千份证书的大公司,否则它将不值得。 - mat


如果您需要SSL覆盖的多个域,则需要购买通配符SSL证书。这包括域名和所有子域。请记住为您创建SSL证书 *.example.com:否则你只签署你的正常域名。

如果您有两个不同的域,则每个域都需要SSL。

或者,如果您只有一个子域,有时两个普通的SSL证书比通配符便宜。


4
2017-07-13 05:41



SSL证书最多可包含100个备用域,2个域不需要2个证书。 - Ivan Solntsev
只有当你购买多域SSL时才会锁定1域 - ParisNakitaKejser