%20%D0%B4%D0%BB%D1%8F%20%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D1%8F%20%D0%B4%D1%80%D1%83%D0%B3%D0%BE%D0%B3%D0%BE%20SSL-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%B0%20%D0%B4%D0%BB%D1%8F%20%D0%B4%D1%80%D1%83%D0%B3%D0%BE%D0%B3%D0%BE%20%D1%85%D0%BE%D1%81%D1%82%D0%B0%20%D0%B2%20%D1%82%D0%BE%D0%BC%20%D0%B6%D0%B5%20%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B5%3F.png)
У меня есть обычный сертификат SSL, выпущенный Network Solutions для данного хоста, скажем, "хост A". Могу ли я создать другой сертификат SSL для хоста wiki, который имеет сертификат хоста A в своем пути доверия и, следовательно, работает для использования на хосте wiki? Оба хоста находятся в одном домене, например:
a.host.com <- хост A использует купленный сертификат SSL; CA — Network Solutions
wiki.host.com <- нужен собственный сертификат
Этот вопрос основан на моем предположении, что поскольку у меня есть доверенный сертификат от доверенного центра сертификации для моего домена, то я должен иметь возможность использовать этот сертификат для создания других сертификатов для других хостов в том же домене, и эти новые сертификаты должны быть доверенными, поскольку они регистрируют «путь доверия» до доверенного центра сертификации.
решение1
Нет.
Причина в том, что существуют разные типы сертификатов для разных целей.
Сертификат, который у вас есть, предназначен для аутентификации сервера, что отражено в свойстве «Расширенное использование ключа»:Server Authentication (1.3.6.1.5.5.7.3.1)
Другие сертификаты имеют следующие цели:Client Authentication (1.3.6.1.5.5.7.3.2)
Для создания (подписи) других сертификатов вам понадобится сертификат с использованием ключаCertificate Signing
Если бы у вас был такой сертификат, вы были бы корневым центром сертификации или, по крайней мере, промежуточным центром сертификации.
Если бы кто-либо с любым сертификатом мог подписывать другие сертификаты, цепочка доверия была бы серьезно нарушена.
решение2
Нет.
Вам нужно будет, чтобы CA выпустил сертификат для дополнительных хостов. В качестве альтернативы вы можете запросить сертификат домена *.example.com wildcard, который позволит вам использовать его на любом количестве поддоменов.