订购可以从服务器证书派生的 SSL *wildcard* 证书
Ordering SSL *wildcard* certificate which from server certificates could be derived
我们的 HTTPS 服务器都需要一个 SSL 通配符证书,所有这些服务器都属于“*.domain.com”。
我们是否可以从订购的通配符证书中派生出服务器证书?
原因:如果服务器受到威胁,我们必须能够仅吊销这台服务器的证书。使用从同一通配符证书派生的证书的所有其他服务器应继续工作。
这样的万能证书可以购买吗?有什么建议吗?
不,您不能从购买的 SSL 证书中派生出其他证书。使用证书签署其他证书的能力主要由 Basic Constraints 证书扩展控制。此扩展由两个组件组成,其中之一(isCA 属性)确定此证书是否可以用于签署其他证书。
当您购买 SSL 证书时,您将获得 Basic Constraints 证书扩展中具有 isCA = false 值的证书。
如果您想控制每个服务器的证书吊销,您必须为每个服务器购买单独的证书(通配符或特定主机名)。
不,这根本不可能。订购 SSL 证书后,您将无法更改基域。
您可以评估两种可能的解决方案。
联系您的 SSL 证书颁发机构并取消该订单(仅当您的订单符合退款政策时),要求退款并重新订购您希望保护的通配符域的 SSL。
获取多域通配符 SSL 证书,它将允许您保护多个域和子域。
我们的 HTTPS 服务器都需要一个 SSL 通配符证书,所有这些服务器都属于“*.domain.com”。
我们是否可以从订购的通配符证书中派生出服务器证书?
原因:如果服务器受到威胁,我们必须能够仅吊销这台服务器的证书。使用从同一通配符证书派生的证书的所有其他服务器应继续工作。
这样的万能证书可以购买吗?有什么建议吗?
不,您不能从购买的 SSL 证书中派生出其他证书。使用证书签署其他证书的能力主要由 Basic Constraints 证书扩展控制。此扩展由两个组件组成,其中之一(isCA 属性)确定此证书是否可以用于签署其他证书。
当您购买 SSL 证书时,您将获得 Basic Constraints 证书扩展中具有 isCA = false 值的证书。
如果您想控制每个服务器的证书吊销,您必须为每个服务器购买单独的证书(通配符或特定主机名)。
不,这根本不可能。订购 SSL 证书后,您将无法更改基域。
您可以评估两种可能的解决方案。
联系您的 SSL 证书颁发机构并取消该订单(仅当您的订单符合退款政策时),要求退款并重新订购您希望保护的通配符域的 SSL。
获取多域通配符 SSL 证书,它将允许您保护多个域和子域。