SSL 证书(非自签名)可用于为同一域中的另一台主机创建另一个 SSL 证书吗?

SSL 证书(非自签名)可用于为同一域中的另一台主机创建另一个 SSL 证书吗?

我有一个由 Network Solutions 为给定主机(例如“主机 A”)颁发的常规 SSL 证书。我是否可以为 wiki 主机创建另一个 SSL 证书,该证书的信任路径中包含主机 A 证书,因此可以在 wiki 主机上使用?两个主机都在同一个域中,例如:

a.host.com <- 主机 A 使用购买的 SSL 证书;CA 是 Network Solutions

wiki.host.com <- 需要自己的证书

这个问题基于我的假设:由于我拥有来自我的域的受信任 CA 的受信任证书,所以我应该能够使用该证书为同一域上的其他主机创建其他证书,并且这些新证书应该是受信任的,因为它们记录了到达受信任 CA 的“信任路径”。

答案1

是也不是。

从技术角度来看,您可以使用通用名称 a.host.com 的证书来签署 wiki.host.com 的证书,因此从这个意义上来说,“是”的。

但是,没有人将您的 a.host.com 证书纳入其受信任的 CA 列表,因此您实际上无法完成使用纯自签名证书无法完成的任何工作。因此,从这个意义上讲,“没有”,或者至少“没有用”。

如果您的问题是“浏览器会信任您的 a.host.com 证书的其他证书签名吗?”答案是否定的。(它们位于同一域中这一事实也不会改变任何事情。)

相关内容