Tôi có thể mua chứng chỉ cho tên miền của mình để có thể ký các chứng chỉ khác cho tên miền phụ không?

Tôi đã viết một chương trình nhỏ để chạy trên máy tính Windows phục vụ các trang web SSL / TLS thông qua cổng 443 để truy cập các trình duyệt web. Tôi muốn nó dễ dàng cho những người không có kỹ thuật cài đặt và chạy chương trình này. Tôi đã giúp họ dễ dàng tạo chứng chỉ tự ký hoặc yêu cầu ký chứng chỉ trong chương trình, nhưng tôi nghĩ họ sẽ phải vật lộn để CSR được ký và kết nối với một tên miền trỏ đến máy chủ của họ. Tôi muốn giảm độ khó kỹ thuật của quá trình này đến mức tối thiểu.

Tôi có thể mua chứng chỉ SSL có thể ký chứng chỉ cho tên miền phụ của tên miền của mình không? Một cái gì đó như customer1.mydomain.com, customer2.mydomain.com, v.v. và sau đó tôi có thể trỏ tên miền phụ DNS của mình vào máy chủ của họ và ký chứng chỉ của họ cho họ và tự động hóa toàn bộ quy trình. Hoặc có thể điều này sẽ rất tốn kém?

Nếu không, ngoài việc lưu trữ tất cả các ứng dụng web của họ trên máy chủ của riêng tôi với chứng chỉ * .mydomain.com, giải pháp đơn giản nhất tôi có thể cung cấp cho họ để thiết lập chứng chỉ SSL và tên miền là gì?

StartCom có chương trình cấp chứng chỉ trung cấp . Theo trang web được liên kết, chương trình dành cho những người cấp 1.000 chứng chỉ trở lên và chi phí trung bình là khoảng 2 đô la cho mỗi chứng chỉ được cấp.

Sự thật đáng buồn là những gì bạn nhắm đến về mặt kỹ thuật có thể có với thuộc tính x.509 Name Constraint allowSubtrees như được định nghĩa trong RFC 2459 Mục 4.2.1.11 , nhưng bạn khó có thể tìm thấy bất kỳ CA nào sẵn sàng cung cấp cho bạn chứng chỉ như vậy.

Một số người sẽ không làm điều đó do suy nghĩ rằng việc bán cho bạn một chứng chỉ như vậy một lần không tốt bằng việc bán cho bạn rất nhiều chứng chỉ cho mỗi máy chủ lưu trữ nhiều lần.

Một số sẽ không do các yêu cầu pháp lý tự phát sinh hoặc yêu cầu của các bên bên ngoài.

Có một câu chuyện rất buồn về chuỗi chứng chỉ của một nhà cung cấp dịch vụ viễn thông lớn đã ký CA trung gian cho một mạng nghiên cứu quốc gia, từ đó đã cấp chứng chỉ CA cho các trường Đại học. Mặc dù điều này có vẻ không buồn lắm, nhưng nỗi buồn bắt đầu khi một người dũng cảm từ nhà cung cấp dịch vụ viễn thông nói trên đã cố gắng lấy chứng chỉ và chuỗi tin cậy được đưa vào Mozilla Firefox - phải mất 4 năm thảo luận, đánh giá, hiểu lầm và thậm chí nhiều cuộc thảo luận trước đó cuối cùng nó đã được bao gồm.

Những gì bạn có thể mua chủ yếu là một số "Dịch vụ được quản lý" nơi bạn sẽ sử dụng giao diện của CA để tạo chứng chỉ mới ít nhiều tùy ý. Tất nhiên, điều này thường sẽ tốn rất nhiều tiền trước đó và bạn có thể sẽ phải trả thêm phí cho mỗi chứng chỉ được cấp.

Vấn đề với những gì bạn dự định là không có cách nào để một CA chính (Verisign, Thawte, v.v.) buộc CA cấp dưới (những gì bạn đang tìm kiếm) chỉ gán chứng chỉ cho, hoặc hợp lệ cho một tên miền cụ thể . Một CA cấp dưới xâu chuỗi vào một gốc hợp lệ sẽ có thể tạo chứng chỉ cho toàn bộ Internet. Đây là lý do tại sao bạn không thể nhận được chứng chỉ CA cấp dưới từ bất kỳ ai trừ CA gốc mà bạn tự tạo.

Bạn không thể làm những gì bạn đang tìm kiếm mà không có chứng chỉ wildcart từ một trong những nhà cung cấp chứng chỉ lớn. Những người có thể được mua, không giống như chứng chỉ CA cấp dưới.