排序SSL *通配符*从服务器证书中派生的证书

Question

对于属于"*.domain.com“的HTTPS服务器，我们需要一个SSL通配符证书。

那么，我们是否可以从有序通配符证书中派生服务器证书？

原因:万一服务器被破坏，我们只能撤销这一台服务器的证书。使用从同一通配符证书派生的证书的所有其他服务器都应该继续工作。

是否可以购买这样的通配符证书？有什么建议吗？

Answer 1

不，这是不可能的。一旦您订购了SSL证书，就不能更改基本域。

您可以评估两种可能的解决方案。

1. 联系您的SSL证书颁发机构并取消该订单(仅当您的订单处于退款政策之下)，请求退款，并为您希望保护的通配符域重新排序SSL。
2. 获得多域通配符SSL证书，它将允许您保护多个域和子域。

Answer 2

不，您不能从购买的SSL证书中派生其他证书。使用证书对其他证书进行签名的能力主要由Basic Constraints证书扩展控制。此扩展由两个组件组成，其中一个组件(isCA属性)确定该证书是否可以用于对其他证书进行签名。

当您购买SSL证书时，您将在isCA = false证书扩展中获得一个带有Basic Constraints值的证书。

如果要控制每个服务器的证书吊销，则必须为每个服务器购买单独的证书(通配符或特定主机名)。