我正在维护一个拥有相当大的服务器基础架构的项目。
目前我正在为不同的子域使用多个SSL证书,而这在口袋里并不容易。
对我来说,一个更经济的解决方案是获得一张外卡证书并在我的所有服务器上使用它。
然而,这些服务器遍布全球,如果其中一台服务器遭到入侵 - 无论是物理上还是其他任何方式,秘密证书密钥都会落入任何进入系统的人手中。
在这种情况下,如果我使用通配符证书,密钥泄露密钥也将成为系统所有其他组件的密钥(因为它们具有相同的证书)。
我不想破坏我的主网站的SSL安全性,因为一些不重要的边缘服务器已被泄露。
这就是为什么我想知道我是否可以在某种程度上为我自己的子域名签署自己的CSR。
类似“自助服务顶级域名中间证书颁发机构”
有这样的事吗?据我所知,证书颁发机构和中间证书颁发机构不限于其公用名(域)的特定范围。
但是我知道,例如谷歌动态生成证书用于其网站的特殊部分的安全性。
我想知道他们是怎么做到的。或者他们自己是证书颁发机构?
希望问题很清楚, 任何帮助都是适当的!
答案 0 :(得分:3)
我不知道Google是否是认证机构,我似乎找不到他们的CA.
无论如何,没有证书颁发机构应该提供全球中间CA.正如预期的那样,有些人做了并导致滥用。没有办法提供限制在CN的中间CA,所以不,没有办法做你想要的。
虽然可以通过使用DANE来完成,但它在多年之前不会成为主流。见http://tools.ietf.org/html/rfc6698
答案 1 :(得分:1)
MPKI,托管公钥基础设施将使您能够立即在预先批准的域上创建自己的证书。
我认为这不会为您节省任何费用,但允许您执行您要求的许多项目。
答案 2 :(得分:1)
关于Google:Google拥有GeoTrust颁发的中间证书。