CDN - SSL和通配符证书

Question

我的组织为我们的域及其子域提供了通配符证书。让我们说*.serverfault.com。我们想使用第三方网络主机作为CDN作为我们的图像内容，但我们希望有一个领域有media.serverfault.com。出于安全考虑，我们不想在第三方安装通配符证书。我们希望在那里安装的证书只对media.serverfault.com有效。

这个是可能的吗？如果*.serverfault.com和media.serverfault.com的证书来自不同的根CA，浏览器会给我们提供问题吗？或者是否有一种方法可以使用*.serverfault.com通配符来为media.serverfault.com生成通配符？

Answer 1

浏览器在这个设置上不会有问题。DNS条目与证书之间没有连接。只要有从证书到根CA的信任链，一切都很好。