Clint Miller's questions

我可以从根 CA 获得证书，然后我可以使用它来签署我自己的 Web 服务器证书吗？如果可能的话，我会使用签名证书作为中间来签署其他证书。

我知道我必须使用“我的”中间证书以某种方式配置我的系统，以便向我的客户提供有关信任链的信息。

这可能吗？根 CA 愿意签署这样的证书吗？这个很贵吗？

背景

我熟悉 SSL 的基础知识，因为它与通过 HTTP 保护 Web 流量有关。我对信任链的工作方式也有基本的了解，因为如果您使用具有有效链的证书进行加密，则默认情况下会保护 Web 流量，并一直返回到根 CA，由浏览器确定/操作系统供应商。

我也知道许多根 CA 已经开始使用中间证书为最终用户（比如我）签署证书。这可能需要我进行更多设置，否则，这些证书将正常工作。我想这与保护他们对 CA 的所有有价值的私钥以及如果我被泄露将是灾难有关。

例子

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

现在，我们绝对不是那些组织的规模，但他们似乎正在做这样的事情。这肯定会让这些证书的管理变得更容易接受，尤其是考虑到我们正在扩大电子商务平台范围的一种方式。

首先，这不是关于子域或主机标头和 SSL 的问题。

我想知道的是我是否可以建立一个证书请求或找到一个证书提供者，该证书提供者将颁发具有多个 CN（通用名称）的证书，以便安全访问https://www.abcde.com - 或- https:// www.qwert.com在浏览器看来与 SSL 证书中的 CN 不匹配？

背景

我们有一个在 URL http://www.abcde.com下运行的电子商务应用程序。该应用程序还有一个安全部分，可通过https://www.abcde.com访问。这是一个非常正常的设置，除了使用 SSL 通配符证书 (*.abcde.com)，因为子域可能会根据此应用程序的业务用途而有所不同。应用程序的这种子域/域名差异与为我们选定的合作伙伴定制其外观和交易削减百分比有关。

我们现在有一个完全相同的应用程序的所需业务用途，可以通过 URL http://www.qwert.com访问它，当然，还有一个安全部分可以作为https://www.qwert.com访问.

这会造成问题，因为我的证书是为 *.abcde.com 颁发的。根据Ken Schaefer的说法，可以生成具有多个 CN 的 CSR。

您是否听说过证书中有多个 CN？您知道如何为此创建 CSR 吗？任何证书供应商都会满足这样的要求吗？