SSL自签名证书

Question

我是否可以为域A购买单个SSL证书，并使用域A作为参考对所有其他域进行签名。

它会起作用吗？

Answer 1

我认为您正在寻找通配符证书。为*.mydomain.com颁发证书将对sub1.mydomain.com、sub2.mydomain.com等有效。

如果您希望获得mydomain.com的证书，并使用它为otherdomain.com生成证书，那么这是行不通的。

仅供参考，根据我的记忆，通配符证书要贵得多。

编辑:重读你的问题，你想做第二种选择，不，你不能那样做。你最终会得到一个无效的证书，而且大多数浏览器都会挂出巨大的警告信号，表明证书不是来自可信的来源。它会将您的域A的证书引用为受信任的签名者，但它不是，即使证书是由链上更高的受信任的签名者颁发的。如果您想要做的事情是可能的，那么整个受信任的签名者/TLS基础设施将是无用的。(基本TLS的效用是验证您正在与谁进行交易，因为获得证书是微不足道的/便宜的。因此出现了Extended Validation Certificates。)

Answer 2

您当然可以安装这些证书。然而，就像自签名证书一样，主要问题是浏览器无法验证它们，因为验证链断开了。

简而言之:它不会像你希望的那样工作。

Answer 3

不，您不能。SSL证书是以特定的允许用法颁发的(该用法在证书中编码)。这不包括签署其他证书。

因此，尽管从技术上讲，您可以使用证书A的密钥为其他域签名证书，但这样的签名证书将不会正确验证，也不会工作。