我可以创建浏览器识别的链式 SSL 证书吗?

我可以创建浏览器识别的链式 SSL 证书吗?

假设我有一个对 example.com 有效的证书(并由知名 SSL 供应商支持)。我希望能够拥有一个域 test.example.com 的测试版本,该版本也受 SSL 证书保护,但我希望这样做而不支付商业证书费用(我知道有“免费”证书,但几乎所有证书都有时间限制,这对我来说不起作用)。

显然可以从该证书创建链式证书。我想知道的是浏览器是否会将该链式证书识别为有效。

请注意,example.com 的证书是 SAN 证书,涵盖其他域名,如 docs.example.com、example.org 等。

理想情况下,我希望链式证书是 SAN 证书,并且仅提供每个域的测试类似物:test.example.com、test.docs.example.com、test.example.org 等。

我知道我需要一个单独的 IP 地址用于测试证书。

顺便说一下,这是在 Apache 和 CentOS 上。

答案1

我想知道的是浏览器是否会识别该链式证书作为有效证书。

都不是。在您的证书中,它有以下条目证书基本约束

Not Critical
Is not a Certification Authority

一旦浏览器将其视为中间证书,它就会拒绝您用来“签名”的证书。

答案2

您无法根据example.com证书颁发更多证书。检查其 x509 基本约束字段。受信任的 CA 颁发给客户端的每个证书都应始终具有CA:FALSE约束(尽管最近,一家大型 CA 承认在取消此限制的情况下向客户颁发了证书)。

如果您需要使用自己制作的证书进行测试,则需要创建自己的 CA 并在客户端浏览器中信任它。

答案3

如果您已经购买了证书,那么运气就不好了。如果没有,请考虑购买通配符或在 CSR 中添加主题备用名称属性。大多数 CA 都会很乐意签署证书,而不会向您收取额外费用。

相关内容