Допустим, у меня есть сертификат, действительный для example.com (и подтвержденный известным поставщиком SSL). Я хочу иметь тестовую версию домена test.example.com, которая также защищена сертификатом SSL, но я бы хотел сделать это, не платя за коммерческий сертификат (я понимаю, что есть "бесплатные "сертификаты, но почти все они имеют ограничения по времени, что для меня не работает).
Очевидно, что из этого сертификата можно создать связанный сертификат. Мне интересно, распознают ли браузеры этот связанный сертификат как действительный.
Обратите внимание, что сертификат для example.com является сертификатом SAN и охватывает другие домены, такие как docs.example.com, example.org и т. Д.
В идеале я бы хотел, чтобы связанный сертификат также быть сертификатом SAN, и просто предоставить тестовые аналоги каждого домена: test.example.com, test.docs.example.com, test.example.org и т. д.
Я знаю, что мне понадобится отдельный IP-адрес для тестового сертификата.
Кстати, это есть в Apache и CentOS.
Мне интересно, распознают ли браузеры этот связанный сертификат как действительный.
Ни один из них. В вашем сертификате есть запись под Основные ограничения сертификата:
Not Critical
Is not a Certification Authority
Как только браузер увидит в нем промежуточный сертификат, он отклонит те, которыми вы его «подписываете».
Вы не можете выдавать больше сертификатов с вашего example.com сертификат. Проверьте его поле x509 Basic Constraints. Каждый сертификат, который доверенный ЦС выдает клиенту, всегда должен иметь CA:FALSE ограничение (хотя в последнее время основной центр сертификации допустил к выдаче сертификата клиенту, сняв это ограничение).
Если вам нужно протестировать с помощью созданных вами сертификатов, вам необходимо создать собственный центр сертификации и доверять ему в клиентских браузерах.
Если вы уже купили сертификат, то вам не повезло. Если нет, посмотрите на покупку подстановочного знака или на добавление атрибута «Альтернативное имя субъекта» в CSR. Большинство центров сертификации с радостью подпишут его без дополнительной оплаты.