从有效通配符证书生成子域证书

Modified on: Sat, 09 Nov 2019 03:40:02 +0800

提供可以链接的SSL证书和密钥的性质,我(我自己)可以根据为通配符子域发布的主域证书和密钥为子域生成证书吗?

这里的做法是我必须为一个子域设置一个新的完全不同的远程(物理)服务器,我想最大限度地降低主证书和密钥的风险,以防万一。

我可以使用提供我的主域名,通配符证书和密钥的openssl实用程序来执行此操作,还是应该再次由CA重新签名?如果可以,怎么样?

由于

作者:Cunning

最佳答案

首先,我同意传播通配符证书是一个坏主意。最佳做法是使用单独的证书(当域位于不同的服务器或虚拟主机上时)或SAN证书(当它们都位于同一位置时)。

但是,您不应该使用现有证书签署子域证书。通常会颁发SSL证书,限制它们的使用方式。如果你运行openssl x509 -in /path/to/cert.pem -noout -text,你会看到一个看起来像

的部分

        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication

这意味着证书只能用于验证Web服务器或客户端。它不能用于签署其他证书(或者,至少,没有客户会信任由此签署的证书)。

您无法执行此操作的原因是,CA目前无法颁发可用于仅在给定域内签署其他证书的证书。因此,如果受信任的CA要为您提供可用于签署其他证书的证书,则它们实际上可以让您模拟Internet上的任何其他站点。这将是糟糕的,这就是为什么他们不这样做。

作者:Jenny D

相关问答

添加新评论