我正在维护一个具有相当大的服务器基础设施的项目。
目前我正在为不同的子域使用多个 SSL 证书,这并不容易。
对我来说,一个更经济的解决方案是获得一个通配符证书并在我的所有服务器上使用它。
然而,这些服务器分布在全局各地,如果其中一台服务器受到损害 - 物理上或通过任何其他方式, secret 证书 key 将落入任何进入系统的人的手中。
在那种情况下,如果我使用通配符证书,被泄露的 key 也将是系统所有其他组件的 key (因为它们具有相同的证书)。
我不想破坏我的主要网站的 SSL 安全性,因为一些不重要的边缘服务器已被破坏。
这就是为什么我想知道我是否可以以某种方式为我自己的子域签署自己的 CSR。
类似于“自助服务顶级域范围的中间证书颁发机构”
有这样的事吗?据我了解,证书颁发机构和中间证书颁发机构不限于其通用名称(域)的特定范围。
但是我知道,例如 Google 会在其网站的特殊部分出于安全目的即时生成证书。
我想知道他们是怎么做到的。还是他们自己就是证书颁发机构?
希望问题很清楚, 任何帮助都适用!
最佳答案
不知道谷歌是不是认证机构,我好像没有找到他们的CA。
无论如何,任何证书颁发机构都不应该提供全局中间 CA。正如预期的那样,有些人这样做了,这导致了虐待。没有办法提供仅限于 CN 的中间 CA,所以不,没有办法做你正在寻找的东西。
虽然可以通过使用 DANE 来完成,但它在很多年后不会成为主流。参见 https://www.rfc-editor.org/rfc/rfc6698
关于web-services - 我可以获得中间证书来为我自己的域签署 SSL 证书吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16484114/