Если я куплю подписанный сертификат для example.com
, могу ли я затем предоставить дополнительные сертификаты для a.example.com
и b.example.com
?
Эти суб-сертификаты будут содержать файлы PEM, конфиденциальность которых не может быть гарантирована.
Могу ли я сделать это, сохранив конфиденциальность корневого сертификата и создав неограниченное количество одноразовых субсертификатов, которые по-прежнему будут признаны действительными исходным органом подписи?
Нет, это не сработает.
Для подписания сертификатов вам потребуется собственный центр сертификации сертификат. Приобретаемые вами сертификаты подписанный центром сертификации, но специально отмеченным как не сертификат центра сертификации.
Проверьте «Основные ограничения сертификата» в своем сертификате, и вы увидите, что он «не является центром сертификации».
Если вам нужно более одного домена, покрытого SSL, вам необходимо купить подстановочный SSL-сертификат. Это касается доменного имени и всех поддоменов. Не забудьте создать сертификат SSL для *.example.com
: в противном случае вы подпишете только свой обычный домен.
Если у вас два разных домена, вам понадобится SSL для каждого домена.
Или, если у вас только один поддомен, иногда два обычных сертификата SSL дешевле, чем подстановочный знак.