У меня есть подстановочный сертификат (файл pfx), и я сомневаюсь, как его использовать. Должен ли я установить это на всех моих серверах приложений или, в качестве альтернативы, создать новый сертификат и подписать его с помощью сертификата с подстановочными знаками?
Я читал, что существуют ограничения в отношении этих проблем и что не все сертификаты с подстановочными знаками могут подписывать другие сертификаты, так как мне проверить, могу ли я это сделать?
Но самое главное, я должен это делать? Я спрашиваю об этом, потому что из того, что я прочитал, файл pfx содержит закрытый ключ подстановочного знака. Другими словами, закрытый ключ домена, поэтому, если сервер будет скомпрометирован и этот файл будет украден, последствия могут быть весьма драматичными.
Правильно ли я понимаю эту ситуацию?
Должен ли я установить это на всех моих серверах приложений
Да.
или, в качестве альтернативы, создайте новый сертификат и подпишите его с помощью подстановочного сертификата
Это невозможно.
... что не все сертификаты с подстановочными знаками могут подписывать другие
Ни один CA не выдаст вам сертификат для подписи других (по крайней мере, если у вас нет много денег и твердых знаний о сертификатах, а также о том, как обеспечить их безопасность и т. Д., Которых у вас в настоящее время нет).
поэтому, если сервер будет скомпрометирован и этот файл будет украден, последствия могут быть весьма драматичными.
Да, если сервер скомпрометирован, закрытый ключ может быть скомпрометирован, поэтому вам действительно нужно обеспечить безопасность сервера.