订购可以派生服务器证书的SSL *通配符*证书
问题描述:
我们需要一个SSL通配符证书用于我们属于“* .domain.com”的HTTPS服务器。订购可以派生服务器证书的SSL *通配符*证书
然后我们可以从有序通配符证书中派生服务器证书吗?
原因:如果服务器应该受到威胁,我们必须能够撤销这台服务器的证书。所有其他使用来自相同通配符证书的证书的服务器应继续工作。
是否有可能购买这样的通配符证书?任何建议?
答
不,这根本不可能。一旦您订购了SSL证书,您便无法更改基本域。
您可以评估两种可能的解决方案。
联系您的SSL证书颁发机构,并取消该订单(仅当您的订单正在退税政策),要求退款并重新排列,而您是希望确保通配符域的SSL。
获取多域通配符SSL证书,它将允许您保护多个域和子域。
答
不,您无法从购买的SSL证书中派生其他证书。使用证书签署其他证书的能力主要由Basic Constraints
证书扩展控制。此扩展名由两个组件组成,其中一个(isCA
属性)确定此证书是否可以用于签署其他证书。
当您购买SSL证书时,您将在Basic Constraints
证书扩展中获得isCA = false
值的证书。
如果要控制每个服务器的证书撤销,则必须为每个服务器(通配符或特定主机名)购买单独的证书。
听起来更像SAN证书。你期望用这个证书覆盖多少台服务器? –
这将是5-20个服务器。 – andreasgk