我是否可以为域A购买单个SSL证书,并使用域A作为参考对我的所有其他域进行签名。
它会起作用吗?
答案 0 :(得分:1)
您当然可以安装这些证书。然而,与自签名证书一样,主要问题是由于验证链断开,浏览器无法对其进行验证。
简而言之:它不会像你想要的那样起作用。
答案 1 :(得分:1)
因此,虽然您在技术上可以使用证书A的密钥为其他域签署证书,但此类签名证书将无法正确验证且无法正常工作。
答案 2 :(得分:0)
我认为您正在寻找通配符证书。颁发* .mydomain.com证书对sub1.mydomain.com,sub2.mydomain.com等有效。
如果您希望获得mydomain.com的证书并使用该证书为otherdomain.com生成证书,那将无效。
仅供参考,通配符证书比我记忆中的要贵得多。
编辑: 重读你的问题,你想做第二个选择,不,你不能这样做。你最终会得到一个无效的证书,并且大多数浏览器都会发出巨大的警告信号,表明证书不是来自可靠的来源。它会将您对域A的证书作为可信签名者引用,但它不是,即使它是由可靠的签名者在链上进一步发布的。如果您想要做什么,整个可信签署者/ TLS基础设施将毫无用处。 (基本TLS的效用作为验证,你正在与谁打交道,你认为你的交易是有争议的,因为获得证书是微不足道的/便宜的。因此Extended Validation Certificates的存在。)
答案 3 :(得分:0)
您无法从证书中签署更多证书。否则你可以在你自己的合法SSL证书下签署像www.paypal.com这样的东西 - 这可以通过黑帽会议上的MITM攻击来证明,但此后已经无法实现。
但是,您可以获得多域证书。这些证书允许您在SAN字段(主题备用名称)中包含其他域。因此,将为单个域生成证书,并在注册过程中使用SSL提供程序添加其他域。您需要验证所请求的每个域的所有权。
这些证书允许您使用一个SSL证书在单个IP上托管多个FQDN。
此外,还有通配符证书,但这些只允许您使用单个证书保护* .domain.com。