创建CA需要何种类型的SSL证书？

Question

我有一项任务是为公司创建证书颁发机构。最好使用“有效”(非自签名)证书。其目标是为子域(而不是通配符)颁发单独的证书，加上未由通配符证书、用户、服务等覆盖的子域。

所有这些都可能仅限于单个域。

据我所知，我需要一个有效的证书，它在其中具有某些功能，比如这个Key Cert Sign, CRL Sign。

这是真的吗?有人能告诉我文档和SSL提供程序可以卖给我那种证书吗？

谢谢。

更新:谢谢你的评论:我可能需要重新表述我的问题，那么，需要什么才能为服务和用户颁发公开有效的证书？有一些网站发布用户证书，比如这个https://www.comodo.com/home/email-security/free-email-certificate.php。但是我不想依赖公共和免费的服务来供公司使用，我宁愿使用一些稳定可靠的服务。

Answer 1

首先，没有公共可信证书颁发机构会授予任何类型的签名证书。

既然我们已经把它排除在外了：

因为这是用于内部使用的，所以您不需要来自外部源的任何类型的证书--只需启动自己的CA，并将其CA证书分发给所有客户端的可信证书数据库。然后，你可以请求和签署证书，威利尼利和你的所有客户都会信任他们。