%20verwendet%20werden%2C%20um%20ein%20anderes%20SSL-Zertifikat%20f%C3%BCr%20einen%20anderen%20Host%20in%20derselben%20Dom%C3%A4ne%20zu%20erstellen%3F.png)
Ich habe ein reguläres SSL-Zertifikat von Network Solutions für einen bestimmten Host, beispielsweise „Host A“. Kann ich ein weiteres SSL-Zertifikat für den Wiki-Host erstellen, das das Zertifikat von Host A in seinem Vertrauenspfad hat und daher für die Verwendung auf dem Wiki-Host funktioniert? Beide Hosts befinden sich in derselben Domäne, beispielsweise:
a.host.com <- Host A verwendet ein gekauftes SSL-Zertifikat; CA ist Network Solutions
wiki.host.com <- benötigt ein eigenes Zertifikat
Diese Frage basiert auf meiner Annahme, dass ich, da ich ein vertrauenswürdiges Zertifikat einer vertrauenswürdigen Zertifizierungsstelle für meine Domäne besitze, in der Lage sein sollte, dieses Zertifikat zu verwenden, um weitere Zertifikate für andere Hosts in der gleichen Domäne zu erstellen, und dass diese neuen Zertifikate vertrauenswürdig sein sollten, da sie den „Vertrauenspfad“ bis zu einer vertrauenswürdigen Zertifizierungsstelle aufzeichnen.
Antwort1
NEIN.
Der Grund hierfür liegt darin, dass es für unterschiedliche Zwecke unterschiedliche Zertifikatstypen gibt.
Ihr Zertifikat dient der Serverauthentifizierung, was sich in der Eigenschaft „Erweiterte Schlüsselverwendung“ widerspiegelt:Server Authentication (1.3.6.1.5.5.7.3.1)
Andere Zertifikate haben den Zweck:Client Authentication (1.3.6.1.5.5.7.3.2)
Um andere Zertifikate zu erstellen (signieren), benötigen Sie ein Zertifikat mit der Schlüsselverwendung vonCertificate Signing
Wenn Sie über ein solches Zertifikat verfügen würden, wären Sie eine Stammzertifizierungsstelle oder zumindest eine Zwischenzertifizierungsstelle.
Wenn jeder mit einem beliebigen Zertifikat andere Zertifikate signieren könnte, wäre die Vertrauenskette ernsthaft beeinträchtigt.
Antwort2
NEIN.
Sie müssen von der Zertifizierungsstelle ein Zertifikat für die zusätzlichen Hosts ausstellen lassen. Alternativ können Sie ein Wildcard-Domänenzertifikat *.example.com anfordern, das Sie für eine beliebige Anzahl von Subdomänen verwenden können.