ACME -获得SAN子域的证书

Question

我对即将到来的自动证书管理环境(ACME)感兴趣。我下载了演示，并在我的主域上试用了它。但是，我仍然有一个问题:使用常规的认证过程，我能够使用SAN获得一个证书，这样我就可以在我的服务器(Node.js)上设置它，并为所有子域(即vhost)提供服务。问题是，现行草案声明如下：

密钥授权 可以重复此过程将多个标识符关联到密钥对(例如，请求证书和多个标识符)。

这是否意味着我需要为每个子域发出一个新的证书，即使它们是同一个主域(“主标识符”)的一部分?

谢谢你的回答。

Answer 1

我对此的理解

使用多个标识符请求证书

您将能够将多个域关联到一个证书。这些域很可能在证书的主题替代名称扩展中声明。

每个域都将由CA进行验证，并且只有经过验证的域才会放置在已颁发的证书中。

它在说明书中写得不清楚，但在阅读了5.6节之后，对我来说确实有意义，特别是

CSR对客户端有关要颁发证书的内容的请求进行编码。CSR必须包含至少一个extensionRequest属性RFC2985，请求subjectAltName扩展，其中包含请求的标识符。 CSR中提供的值只是一个请求，没有得到保证。服务器或CA可以在颁发证书之前更改证书中的任何字段。例如，CA可以删除未授权用于“授权”字段中指示的密钥的标识符。