是否可以使用通配符SSL证书签署其他证书?
即。我已经为* .example.com
购买了根签名通配符证书我想允许第三方为我提供服务,在thirdparty.example.com上。
我是否可以为thirdparty.example.com创建证书并使用我的* .example.com证书进行签名?或者我是否必须为第三方购买单独的证书。
如果无法做到这一点,是否可以购买域名签名证书?为了清楚起见,我只想签署 .example.com的证书,而不是根级别( .com)签名证书。
答案 0 :(得分:5)
不,你不能(尽管技术上可行,但它不起作用)。由于证书签名证书必须具有两个具有以下值的扩展名:
是的,这是可能的,但对你来说这将是非常昂贵的(如果你不打算发行大量的证书)。因为您必须为此服务付出巨大代价,购买所需的硬件(HSM是强制性的),编写文档(最低CPS)并处理外部审核以验证您是否遵守提供商的CPS(证书实践声明)。几天前我写了一篇关于根证书签名的文章:Certification Authority Root Signing。是否可以购买域名签名证书?
HTH