Чи можу я придбати сертифікат для свого домену, який можу підписати інші сертифікати для субдоменів?

Я написав невелику програму для роботи на комп'ютері Windows, який обслуговує веб-сторінки SSL / TLS через порт 443 для відвідування веб-браузерів. Я хочу, щоб не-технічним людям було легко встановити та запустити цю програму. Я спростив їм створити сертифікат або запит на підписання сертифіката в програмі, але я думаю, що вони будуть намагатися отримати CSR, підписаний та підключений до доменного імені, яке вказує на їхній сервер. Я хочу звести технічні труднощі цього процесу до мінімуму.

Чи можу я придбати сертифікат SSL, який можу підписати сертифікати для субдоменів мого доменного імені? Щось на зразок customer1.mydomain.com, customer2.mydomain.com тощо, і тоді я міг би вказати свої піддомени DNS на їх сервери та підписати для них свої сертифікати та автоматизувати весь процес. А може, це було б дуже дорого?

Якщо ні, окрім розміщення всіх їх веб-додатків на моєму власному сервері із сертифікатом * .mydomain.com, яке найпростіше рішення я можу дати їм для налаштування сертифікатів SSL та доменних імен?

StartCom має програму з проміжним сертифікатом . За даними пов'язаного сайту, програма призначена для тих, хто видає 1000 і більше сертифікатів, а середня вартість становить близько 2 доларів за виданий сертифікат.

Сумна правда полягає в тому, що те, що ви прагнете, технічно можливо за допомогою атрибута x.509 обмеження імені разрешеноSubtrees, як визначено в розділі 4.2.1.11 RFC 2459 , але ви навряд чи знайдете будь-якого ЦА, готового надати вам такий сертифікат.

Деякі не зроблять цього завдяки думці, що продавати вам такий сертифікат один раз не так добре, як багато разів продавати вам багато сертифікатів на хоста.

Деякі з них не будуть обумовлені регуляторними вимогами чи вимогами зовнішніх сторін, які виникають у самому розумі.

Існує дуже сумна історія про мережу сертифікатів великого постачальника послуг телекомунікацій, який підписав проміжні ЦО для національної дослідницької мережі, яка, в свою чергу, видала університети сертифікати CA. Хоча це ще не звучить дуже сумно, смуток починається, коли сміливий чоловік від вищезгаданого провайдера телекомунікацій намагався отримати сертифікат і ланцюжок довіри, включений до Mozilla Firefox - на це пішло 4 роки дискусій, оглядів, непорозумінь та ще більше дискусій, перш ніж остаточно було включено.

Що ви можете придбати - це здебільшого "Керована послуга", де ви б за бажанням використовували інтерфейси ЦА для створення нових сертифікатів. Звичайно, це зазвичай коштуватиме багато грошей заздалегідь, і ви, швидше за все, будете додатково стягуватись за кожен виданий сертифікат.

Проблема з тим, що ви маєте намір, полягає в тому, що первинний КА (Verisign, Thawte тощо) не може обмежувати підлеглого ЦА (те, що ви шукаєте) призначати лише сертифікати для певного домену або бути дійсним для нього . Підпорядкований CA, який приєднаний до дійсного кореня, зможе створити сертифікати для всього Інтернету. Ось чому ви не можете отримати сертифікат "Підрядний ЦО" ні від кого, окрім кореневого ЦА, який ви виготовляєте самостійно.

Ви не можете робити те, що шукаєте, без сертифікату wildcart від одного з великих постачальників сертифікатів. Їх можна придбати, на відміну від підлеглих сертифікатів ЦА.