Мы используем подстановочный сертификат на нескольких хостах, что сейчас означает, что мы должны распространить закрытый ключ подстановочного сертификата на каждую машину, что является проблемой безопасности. С другой стороны, покупать отдельный сертификат для каждого нового хоста для нас слишком дорого.
Есть ли способ не иметь закрытый ключ на каждом хосте? Могу ли я сам создать сертификат для этого конкретного хоста и подписать его с помощью подстановочного сертификата или чего-то подобного? Как это обычно делается?
Большинство компаний разрешают неограниченное количество дубликатов подстановочного знака, использующего другой csr. Например, Digicert разрешает неограниченное количество бесплатных дубликатов на своем подстановочном знаке плюс.
Вы можете подписывать свои собственные сертификаты, но ни один браузер не будет доверять этому, так что это немного бессмысленно.