我正在使用 HTTPS 构建一个网站。主机有 DNS 名称和 IP 地址,我希望 SSL 证书能够同时覆盖这两个名称。我已获得由受信任方签名的证书 - 但此证书不包含 DNS 名称(没有主题备用名称等),仅包含 IP 地址。我还有一个用于创建此证书的 CSR 和与此 CSR 一起使用的私钥。
现在,有没有办法,根据我拥有的资产,创建一个对 DNS 名称和 IP 地址都有效的新证书,该证书最终通过链接到受信任方而受到信任?换句话说,我可以用某种方式使用我拥有的证书来签署新的受信任证书吗?我怀疑这样的操作需要原始 CA 的私钥,而我显然没有,我猜对了吗?
顺便说一句,我正在设置的服务器运行的是 Ubuntu 和 nginx。我已经有一个带有自签名证书的工作设置。我正在使用 openssl 进行证书操作。
答案1
如果您拥有的证书被授权生成证书(中级证书应该是,客户端证书通常不是),那么是的,但这取决于您的证书被授权生成/签署的证书类型,https://stackoverflow.com/questions/310003/can-you-put-ssl-on-a-ip-address-or-only-on-a-web-servers-domain-name
更新更多信息
具体来说,您要确保您是能够生成证书的中级 CA。