我有一个由 Network Solutions 为给定主机(例如“主机 A”)颁发的常规 SSL 证书。我是否可以为 wiki 主机创建另一个 SSL 证书,该证书的信任路径中包含主机 A 证书,因此可以在 wiki 主机上使用?两个主机都在同一个域中,例如:
a.host.com <- 主机 A 使用购买的 SSL 证书;CA 是 Network Solutions
wiki.host.com <- 需要自己的证书
这个问题基于我的假设:由于我拥有来自我的域的受信任 CA 的受信任证书,所以我应该能够使用该证书为同一域上的其他主机创建其他证书,并且这些新证书应该是受信任的,因为它们记录了到达受信任 CA 的“信任路径”。
答案1
不。
原因是针对不同目的存在不同类型的证书。
您拥有的证书具有服务器身份验证的用途,这反映在增强密钥使用属性中:Server Authentication (1.3.6.1.5.5.7.3.1)
其他证书的用途如下:Client Authentication (1.3.6.1.5.5.7.3.2)
要创建(签署)其他证书,您需要一个具有以下密钥用法的证书Certificate Signing
如果您拥有这样的证书,您将成为根认证机构或至少是中级认证机构。
如果任何持有证书的人都可以签署其他证书,那么信任链就会严重断裂。
答案2
不。
您需要让 CA 为其他主机颁发证书。或者,您可以申请 *.example.com 通配符域证书,这样您就可以在任意数量的子域上使用它。