背景
我需要替换名为 h1.vx.mydomain.net(显然不是真实域)的主机上的现有证书。
现有证书显示它是由我不认识的 CA 链颁发的。这些 CA 显然是第三方 CA 组织。该证书绝对不是作为自签名证书生成的。它也不是使用内部公钥基础设施生成的。
令我感到困惑的是,证书链中的 CA 列表与 mydomain.net 的注册商无关(该域名在 GoDaddy 注册)。我原本以为证书链会将 GoDaddy 作为颁发 CA,或者证书链中的其中一个 CA 是 GoDaddy 下受信任的中介 CA,但事实似乎并非如此。
这让我想知道要使用什么流程来生成 h1.vx.mydomain.net 的替换证书。我预计我需要 GoDaddy 证书,但旧证书让我认为 GoDaddy 并未用作 CA。
主要问题
是否可以让“随机”第三方 CA 使用 CSR 为未在 CA 注册的域中的主机生成证书?如果可以,会产生什么后果?
我试图理解对我来说似乎陌生的情况。
答案1
我原本期望证书链将包括 GoDaddy 作为颁发 CA,或者链中的其中一个 CA 是 GoDaddy 下受信任的中介 CA,但事实似乎并非如此。
为什么你会有这样的期望?
没有这样的要求。广义上讲,任何 CA 都可以为所有域颁发证书,但要遵守 CA-Browser 论坛制定的规则。如果您希望限制允许的 CA你的域,您必须使用CAA 记录。
简而言之:你这个问题的整个前提都是建立在错误的信念之上的。回答其余的问题毫无意义。
答案2
任何 CA 都可以为任何域名颁发证书。您只需在购买证书时证明域名所有权即可。您的域名注册地并不重要。