使用通配符 ssl 证书签署其他证书答案

【问题标题】：Use a wildcard ssl cert to sign other certs使用通配符 ssl 证书签署其他证书
【发布时间】：2014-12-30 04:17:04
【问题描述】：

是否可以使用通配符 SSL 证书来签署其他证书？

即我为 *.example.com 购买了根签名通配符证书

我想允许第三方在thirdparty.example.com 上为我提供服务。

我是否可以为 thirdparty.example.com 创建证书并使用我的 *.example.com 证书对其进行签名？还是我必须为第三方购买单独的证书。

如果这不可能，是否可以购买域签名证书？为了清楚起见，我只想为 .example.com 签署证书，而不是根级别 (.com) 签署证书。

【问题讨论】：

这个问题看起来很像：serverfault.com/q/274852/149956

标签： subdomain ssl-certificate wildcard

【解决方案1】：

不，你不能（虽然技术上可行，但它行不通）。因为证书签名证书必须有两个扩展名，具有以下值：

Basic Constraints 必须设置为 CA=True 并标记为关键
KeyUsages 扩展必须启用 keyCertSign 和 cRLSign 位。

是否可以购买域签名证书？

是的，这是可能的，但对您来说会非常昂贵（如果您不打算颁发大量证书）。因为您将不得不为这项服务付出巨大的代价，购买所需的硬件（HSM 是强制性的），编写文档（至少 CPS）并处理外部审计以验证您是否遵守提供商的 CPS（证书实践声明）。前段时间写过一篇关于根证书签名的文章：Certification Authority Root Signing。

HTH

【讨论】：

该链接指向 TLS 证书的扩展，它允许它仅限于某些域。这是一个与我相同的问题，答案正确：security.stackexchange.com/questions/31376/… 您的回答在技术上仍然是正确的，但实际上 CA 可以出售仅限于特定域的 CA 签名证书 - 它可能需要更改的监管，但这个 CA 签名证书不需要像完整的 CA 证书那样受到强有力的保护
它仍然必须像任何其他 CA 证书一样受到保护。不确定 NC 扩展将如何更新我的答案。
是的，目前必须。但是，如果受限 CA 证书逃逸，问题就小得多了。因此，他们可以更改受限制的 CA 证书的规定。您在回答中没有提及有关 NC 扩展的任何内容，白色正是我所要求的。唯一的问题是法规
还有其他问题，NC 仍然与此线程没有太大关系。无论 NC 是否存在，CA 都不会更改合格的 CA 要求。请注意，某些客户端不支持 NC，因此可能无法接受 NC。
NC 怎么不相关？我刚刚告诉过你，另一个问题是我的重复问题并且有正确答案？