Cunning Asked: 2016-01-18 06:27:15 +0800 CST2016-01-18 06:27:15 +0800 CST 2016-01-18 06:27:15 +0800 CST 从有效的通配符证书生成子域证书 772 鉴于 SSL 证书和可以链接的密钥的性质,我(我自己)是否可以根据为通配符子域颁发的主域证书和密钥为子域生成证书? 这里的做法是,我必须为一个子域设置一个新的完全不同的远程(物理)服务器,并且我想尽量减少主证书和密钥被劫持的风险,以防万一。 我可以使用提供我的主域、通配符证书和密钥的 openssl 实用程序来执行此操作,还是应该再次由 CA 辞职?如果可以,怎么做? 谢谢 ssl 1 个回答 Voted Best Answer Jenny D 2016-01-18T06:42:36+08:002016-01-18T06:42:36+08:00 首先,我同意散布通配符证书是个坏主意。最佳实践是使用单独的证书(当域位于不同的服务器或虚拟主机上时)或 SAN 证书(当它们都位于同一位置时)。 但是,您不应该能够使用现有证书来签署子域的证书。SSL 证书的发行通常会限制它们的使用方式。如果你运行openssl x509 -in /path/to/cert.pem -noout -text,你会看到一个看起来像的部分 X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication 这意味着证书只能用于验证 Web 服务器或客户端。它不能用于签署其他证书(或者,至少没有客户端会信任由该证书签署的证书)。 您不能这样做的原因是,CA 目前无法颁发仅可用于签署给定域内的其他证书的证书。因此,如果受信任的 CA 向您提供可用于签署其他证书的证书,它们实际上将使您能够模拟 Internet 上的任何其他站点。这会很糟糕,这就是他们不这样做的原因。
首先,我同意散布通配符证书是个坏主意。最佳实践是使用单独的证书(当域位于不同的服务器或虚拟主机上时)或 SAN 证书(当它们都位于同一位置时)。
但是,您不应该能够使用现有证书来签署子域的证书。SSL 证书的发行通常会限制它们的使用方式。如果你运行
openssl x509 -in /path/to/cert.pem -noout -text,你会看到一个看起来像的部分这意味着证书只能用于验证 Web 服务器或客户端。它不能用于签署其他证书(或者,至少没有客户端会信任由该证书签署的证书)。
您不能这样做的原因是,CA 目前无法颁发仅可用于签署给定域内的其他证书的证书。因此,如果受信任的 CA 向您提供可用于签署其他证书的证书,它们实际上将使您能够模拟 Internet 上的任何其他站点。这会很糟糕,这就是他们不这样做的原因。