Используйте подстановочный знак ssl cert для подписания других сертификатов

Question

Возможно ли использовать подстановочный сертификат SSL для подписи других сертификатов?

т.е. я купил корневой сертификат подстановочные для * .example.com

Я хочу, чтобы позволить третьей стороне предоставить услугу для меня, на thirdparty.example.com.

Возможно ли создать сертификат для третьей стороны.example.com и подписать его с помощью моего сертификата * .example.com? Или мне нужно купить отдельный сертификат для третьей стороны.

Если это невозможно, можно ли приобрести сертификат подписи домена? Чтобы быть ясным, я хочу только подписывать сертификаты на .example.com, а не на корневой уровень ( .com).

Answer 1

Нет, вы не можете (хотя это технически возможно, но это не сработает). Поскольку сертификат подписи сертификат должен иметь два удлинителя со следующими значениями:

1. Basic Constraints должен быть установлен в CA = True и помечены как критические
2. KeyUsages расширение должно иметь keyCertSign и cRLSign бит включен.

можно ли приобрести домен-подпись-сертификат?

Да, это возможно, но это было бы очень дорого для вас (если вы не планируете выдавать большое количество сертификатов). Потому что вам придется заплатить огромную цену за эту услугу, купить необходимое оборудование (HSM является обязательным), написать документацию (CPS в мин.) И обработать внешние аудиты, чтобы проверить, соблюдаете ли вы CPS поставщика (сертификат практики). Несколько раз назад я написал статью о подписании корневого сертификата: Certification Authority Root Signing.

НТН