我有一个由 Network Solutions 为给定主机(例如“主机 A”)颁发的常规 SSL 证书。我是否可以为 wiki 主机创建另一个 SSL 证书,该证书的信任路径中包含主机 A 证书,因此可以在 wiki 主机上使用?两个主机都在同一个域中,例如:
a.host.com <- 主机 A 使用购买的 SSL 证书;CA 是 Network Solutions
wiki.host.com <- 需要自己的证书
这个问题基于我的假设:由于我拥有来自我的域的受信任 CA 的受信任证书,所以我应该能够使用该证书为同一域上的其他主机创建其他证书,并且这些新证书应该是受信任的,因为它们记录了到达受信任 CA 的“信任路径”。
答案1
是也不是。
从技术角度来看,您可以使用通用名称 a.host.com 的证书来签署 wiki.host.com 的证书,因此从这个意义上来说,“是”的。
但是,没有人将您的 a.host.com 证书纳入其受信任的 CA 列表,因此您实际上无法完成使用纯自签名证书无法完成的任何工作。因此,从这个意义上讲,“没有”,或者至少“没有用”。
如果您的问题是“浏览器会信任您的 a.host.com 证书的其他证书签名吗?”答案是否定的。(它们位于同一域中这一事实也不会改变任何事情。)