我想使用我颁发的通配符证书为子域名生成 SSL 证书,例如 *.bar.com -> foo.bar.com
原因是我想尝试防止由同一域上运行的多个应用程序导致的一些 XSS 弱点。
我不知道这是否可能,希望有人能告诉我是否可能。
答案1
这是不可能的。要使用现有证书签署另一个证书,它必须具有适当的用途和扩展集,以便它可以作为 CA(证书颁发机构)工作。最终用户证书没有此扩展。您可能能够使用您的证书签署新证书,但由于颁发者证书不是 CA,因此无法验证此新证书。
为子域名签署通配符证书
我想使用我颁发的通配符证书为子域名生成 SSL 证书,例如 *.bar.com -> foo.bar.com
原因是我想尝试防止由同一域上运行的多个应用程序导致的一些 XSS 弱点。
我不知道这是否可能,希望有人能告诉我是否可能。
这是不可能的。要使用现有证书签署另一个证书,它必须具有适当的用途和扩展集,以便它可以作为 CA(证书颁发机构)工作。最终用户证书没有此扩展。您可能能够使用您的证书签署新证书,但由于颁发者证书不是 CA,因此无法验证此新证书。