Учитывая природу сертификатов SSL и ключей, которые могут быть связаны, могу ли я (сам) сгенерировать сертификат для поддомена на основе сертификата и ключа основного домена, которые выдаются для поддоменов с подстановочными знаками?
Практика здесь такова, что мне нужно настроить новый, совершенно другой и удаленный (физически) сервер только для одного поддомена, и я хочу минимизировать риск взлома основного сертификата и ключей, на всякий случай.
Могу ли я сделать это с помощью утилиты openssl, предоставляющей мой основной домен, сертификат с подстановочными знаками и ключи, или должен быть снова уволен ЦС? Если можно, то как?
Спасибо
Во-первых, я согласен с тем, что распространять групповые сертификаты - плохая идея. Лучше всего использовать либо отдельные сертификаты (когда домены находятся на разных серверах или виртуальных хостах), либо сертификаты SAN (когда все они находятся в одном месте).
Однако вы не сможете использовать существующий сертификат для подписи сертификата субдомена. SSL-сертификаты обычно выдаются с ограничением на то, как их можно использовать. Если ты бежишь openssl x509 -in /path/to/cert.pem -noout -text
, вы увидите часть, похожую на
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Это означает, что сертификат можно использовать только для аутентификации веб-сервера или клиента. Его нельзя использовать для подписи других сертификатов (или, по крайней мере, ни один клиент не будет доверять сертификату, подписанному этим).
Причина, по которой вы не можете этого сделать, заключается в том, что в настоящее время ЦС не может выдать сертификат, который можно использовать для подписи других сертификатов только в данном домене. Следовательно, если доверенный центр сертификации предоставит вам сертификат, который вы можете использовать для подписи других сертификатов, они фактически дадут вам возможность выдавать себя за любой другой сайт в Интернете. Это было бы плохо, и поэтому они этого не делают.