Question Création de sous-certificats à partir d'un certificat racine (SSL) [dupliquer]


Cette question a déjà une réponse ici:

Si j'achète un certificat signé pour example.com, puis-je alors produire des sous-certificats pour a.example.com et b.example.com?

Ces sous-certificats auraient des fichiers PEM dont la confidentialité ne peut être garantie.

Puis-je faire cela en préservant la confidentialité du certificat racine tout en générant un nombre illimité de sous-certificats jetables qui seraient toujours reconnus comme valides par l'autorité de signature d'origine?


7
2017-07-12 18:44


origine




Réponses:


Non, ça ne marchera pas.

Pour signer des certificats, vous avez besoin de votre propre autorité de certification certificat. Les certificats que vous achetez sont signé par une autorité de certification, mais spécifiquement identifiée comme ne pas être un certificat d'autorité de certification.

Vérifiez les "Contraintes de base du certificat" dans votre certificat et vous verrez qu'il "n'est pas une autorité de certification".


15
2017-07-12 18:57



Compris, c'est très utile. Donc, pour être clair, si je voulais le faire et avoir une expérience légitime, sans erreur, dans le navigateur, il me faudrait un certificat d'autorité de certification. Je suppose que ce n'est pas le genre de chose que je peux facilement acheter, n'est-ce pas? - chrism2671
Vous pouvez certainement faire votre propre CA, mais vous ne pouvez pas faire tout le monde le navigateur le reconnaît. - Michael Hampton♦
Vous pouvez acheter un certificat de CA auprès de certaines autorités, mais ils ne sont pas bon marché. De plus, vous devez remplir de nombreuses exigences. Donc, à moins que vous ne soyez une grande entreprise qui souhaite émettre au moins des centaines ou des milliers de certificats, cela ne vaudra pas la peine. - mat


Si vous avez besoin de plus d'un domaine couvert par SSL, vous devez acheter un certificat SSL générique. Cela couvre un nom de domaine et tous les sous-domaines. N'oubliez pas de créer votre certificat SSL pour *.example.com: sinon vous ne signez que votre domaine normal.

Si vous avez deux domaines différents, vous avez besoin de SSL pour chaque domaine.

Ou si vous ne possédez qu'un seul sous-domaine, deux certificats SSL normaux sont parfois moins chers qu'un caractère générique.


4
2017-07-13 05:41



Le certificat SSL peut avoir jusqu'à 100 domaines alternatifs. Vous n'avez pas besoin de 2 certificats pour 2 domaines. - Ivan Solntsev
Ce n'est que si vous achetez un SSL multi-domaine, sinon son verrou à 1 domaine - ParisNakitaKejser