通配符证书& XCA

Question

我们买了一个通配符证书(*.example.com)。我得到了一个.pem文件(包括证书和密钥)，比如"wildcard.example.pem“。

作为认证工具，我选择了XCA。计划是将通配符证书导入到XCA中，并对此通配符证书执行CSR请求。我可以用它生成证书和密钥(我尝试将其作为模板或RootCA使用，但两者都不起作用)。我可以将它们加载到网络服务器中，但浏览器仍然告诉我：“这是一个自我签名证书，警告-帮助帮助.”如果没有来自FF、Chrome和其他浏览器的警告，怎么可能得到这种结构的呢？

我和我的计划完全是假的吗？在这种情况下我该怎么做？

Answer 1

所有证书都有一个设置，说明证书可用于什么目的。当您从公共CA购买证书时--无论它是否用于通配符域--该证书通常仅限于加密、web服务器和客户端身份验证。

这意味着不能使用此证书颁发新证书。

如果您只打算颁发内部使用证书，您应该创建一个新的自签名证书，作为根CA证书使用。我对XCA并不熟悉，但通常在CA软件中有一些工具可以这样做。

如果您要向外部方颁发使用证书，我强烈建议您与一家知道PKI的公司联系，以帮助您正确设置PKI。这不容易，也不便宜。

Answer 2

为了避免这些警告，您应该在浏览器中安装证书颁发机构的证书。或安装此自签名证书并信任它。