假设我有一个对 example.com 有效的证书(并由已知的 SSL 供应商提供支持)。我希望能够拥有域的测试版本,test.example.com,它也使用 SSL 证书进行保护,但我想这样做而无需支付商业证书的费用(我知道有“免费“证书,但几乎所有证书都有时间限制,这对我不起作用)。
显然可以从该证书创建链式证书。我想知道浏览器是否会将该链接证书识别为有效。
请注意,example.com 的证书是 SAN 证书,涵盖其他域,如 docs.example.com、example.org 等。
理想情况下,我希望链式证书也是SAN 证书,并且只提供每个域的测试类比:test.example.com、test.docs.example.com、test.example.org 等。
我知道测试证书需要一个单独的 IP 地址。
顺便说一下,这是在 Apache 和 CentOS 上。
他们都没有。在您的证书中,它具有Certificate Basic Constraints下的条目:
一旦浏览器将其视为中间证书,它就会拒绝您使用它“签名”的证书。
您不能从您的证书中颁发更多
example.com证书。检查其 x509 Basic Constraints 字段。受信任的 CA 向客户端颁发的每个证书都应始终具有CA:FALSE约束(尽管最近,一个主要的 CA 承认向客户端颁发的证书已删除此限制)。如果您需要使用自己制作的证书进行测试,则需要创建自己的 CA 并在客户端浏览器中信任它。
如果您已经购买了证书,那么运气不好。如果没有,请考虑购买通配符或将主题备用名称属性放入 CSR。大多数 CA 会很乐意签署它而不会向您收取额外费用。