如果我购买了 的签名证书,那么我可以为和example.com生成子证书吗?a.example.comb.example.com
这些子证书将包含无法保证其隐私的 PEM 文件。
我可以这样做吗,在生成无限数量的可一次性子证书(这些子证书仍然会被原始签名机构认可为有效)的同时,保持根证书的隐私?
答案1
不,这样不行。
为了签署证书,你需要自己的证书颁发机构证书。您购买的证书是签由证书颁发机构颁发,但具体标记为不是是证书颁发机构证书。
检查您的证书中的“证书基本约束”,您将看到它“不是证书颁发机构”。
答案2
如果您需要 SSL 覆盖多个域名,则需要购买通配符 SSL 证书。这涵盖域名和所有子域名。请记住为*.example.com: 创建 SSL 证书,否则您只能签署普通域名。
如果您有两个不同的域,则每个域都需要 SSL。
或者如果您只有一个子域,有时两个普通 SSL 证书比通配符更便宜。