通配符证书和不同CA上的站点特定证书共享的Cookie？

Question

这是我们的情况（已消毒）：

• 我们有* .foo.com的通配符证书 - CA是“主要CA”
• 我们正在考虑添加供应商的SaaS。我们的要求规定供应商SaaS站点URL应为bar.foo.com。
• 虽然我们可以专门为此供应商的SaaS站点从“主CA”发出单独的通配符证书* .foo.com，但此时供应商尚未准备好支持托管单独的通配符证书。相反，供应商自己会为bar.foo.com安排特定于站点的SSL证书 - 很可能来自“主要CA”以外的CA.
• 我们目前的概念是使用Cookie和JavaScript调用在两个站点之间传递信息：
  • www.foo.com，上面提到了来自“Primary CA”的通配证书
  • bar.foo.com，其中包含供应商提供的特定于站点的SSL证书 - 很可能来自其他CA

问题：

• 理论上，bar.foo.com应该包含在通配符证书中。这会导致浏览器拒绝供应商为bar.foo.com提供的特定于站点的证书吗？
• 鉴于www.foo.com和bar.foo.com的证书将来自两个CA，我们是否能够在两个站点之间传递cookie并使用JavaScript调用，而无需浏览器抱怨跨站点问题，同样-origin问题等？

感谢您的帮助。

Answer 1

您已经拥有* .foo.com的通配符SSL证书，因此您不需要为bar.foo.com提供单独的通配符SSL证书或SSL证书，因为现有证书将涵盖bar.foo.com （子域名）。无论服务器是什么，通配符SSL证书都可以提供无限制的服务器许可证。