我有一個由 Network Solutions 為給定主機(例如“主機 A”)頒發的常規 SSL 憑證。我可以為 wiki 主機建立另一個 SSL 證書,該證書在其信任路徑中具有主機 A 證書,因此可以在 wiki 主機上使用嗎?兩台主機都在同一個網域中,例如:
a.host.com <- 主機 A 使用購買的 SSL 憑證; CA是網路解決方案
wiki.host.com <- 需要自己的證書
這個問題是基於我的假設,因為我擁有來自我的網域的受信任CA 的受信任證書,那麼我應該能夠使用該證書為同一網域上的其他主機建立其他證書,並且這些新證書應該受到信任,因為它們記錄到受信任 CA 的「信任路徑」。
答案1
不。
原因是有不同類型的憑證用於不同的目的。
您擁有的憑證具有伺服器驗證的目的,這反映在「增強的金鑰用法」屬性中:Server Authentication (1.3.6.1.5.5.7.3.1)
其他證書的目的是:Client Authentication (1.3.6.1.5.5.7.3.2)
若要建立(簽署)其他證書,您需要一個以金鑰用法為的證書Certificate Signing
如果您擁有這樣的證書,您將成為根證書頒發機構或至少是中間證書頒發機構。
如果任何擁有任何證書的人都可以簽署其他證書,那麼信任鏈將被嚴重破壞。
答案2
不。
您需要讓 CA 為其他主機頒發憑證。或者,您可以要求 *.example.com 通配符網域證書,這將允許您在任意數量的子網域上使用它。