Dada a natureza dos certificados e chaves SSL que podem ser encadeados, posso (eu mesmo) gerar um certificado para um subdomínio com base no certificado de domínio principal e na chave que são emitidos para subdomínios curinga?
A prática aqui é que eu tenho que configurar um novo servidor completamente diferente e remoto (fisicamente) para apenas um subdomínio e quero minimizar o risco de o certificado principal e as chaves serem roubados, apenas por precaução.
posso fazer isso com o utilitário openssl fornecendo meu domínio principal, certificado curinga e chaves ou devo ser renunciado pela CA novamente? Se pode, como?
Obrigado
Primeiro, concordo que é uma má ideia espalhar certificados curinga por aí. A melhor prática é usar certificados separados (quando os domínios residem em servidores ou hosts virtuais diferentes) ou certificados SAN (quando todos residem no mesmo local).
No entanto, você não deve poder usar seu certificado existente para assinar o certificado de um subdomínio. Os certificados SSL são normalmente emitidos com uma restrição sobre como podem ser usados. Se você correr
openssl x509 -in /path/to/cert.pem -noout -text, verá uma peça parecida comIsso significa que o certificado só pode ser usado para autenticar um servidor ou cliente da web. Não pode ser usado para assinar outros certificados (ou, pelo menos, nenhum cliente confiará em um certificado assinado por este).
A razão pela qual você não pode fazer isso é que atualmente não há como uma CA emitir um certificado que possa ser usado para assinar outros certificados apenas em um determinado domínio. Portanto, se uma CA confiável for fornecer a você um certificado que você possa usar para assinar outros certificados, ela, na verdade, lhe dará a capacidade de representar qualquer outro site na Internet. Isso seria ruim e é por isso que eles não fazem isso.