子域的通配符证书和链式证书有什么区别?

What is the difference between a wildcart certificate and a chained certificate for a subdomain?

Newbee SSL 证书问题。

背景: 我从 Comodo 购买了一个简单的域验证证书,并获得了 4 个我必须手动链接的证书。证书费用为 10 美元。

一个 wildcart 证书的价格大约为 100 美元。

问题:是否无法自己为任何子域创建证书请求,然后使用购买的域证书对 .csr 进行签名,然后将所有内容链接在一起?

我的理解一定有逻辑错误,不然不会有这样的商业模式吧?

There must be some logic error in my understanding otherwise there would not be such business model, would it?

逻辑错误是您假设您可以使用您购买的证书签署其他证书。但是,只有带有特殊标志的证书才能签署其他证书,像 Comodo 这样的证书机构 (CA) 不会向您出售此类证书(或者只是为了很多钱和安全审计)。

此限制的主要原因是(由于设计损坏)任何 CA 证书都可用于签署任何主机证书,这意味着一旦您拥有受信任的 CA 证书,您就可以冒充所有其他主机.

顺便说一句,通配符证书也有链。与更便宜的证书的唯一区别是它对更多主机有效(例如域的所有子域)。