我对即将到来的Automated Certificate Management Environment (ACME)感兴趣。我下载演示&尝试了我的主域名。 我仍然有一个问题: 使用常规认证流程,我可以获得带有SAN的证书,因此我可以在我的服务器(Node.js)上设置它并为所有子域(即vhosts)提供服务。问题是,current draft表示以下内容:
主要授权
可以重复该过程以将多个标识符与密钥对相关联(例如,以请求具有多个标识符的证书)
这是否意味着我需要为每个子域发出从同一个密钥生成的新证书,即使它们属于同一个主域("主要标识符")?
谢谢你的答案。
答案 0 :(得分:1)
我对此的理解
请求具有多个标识符的证书
是您可以将多个域关联到一个证书。这些域很可能会在证书的主题备用名称扩展中声明。
每个域都将由CA验证,并且只有经过验证的域将被放置在颁发的证书中。
在规范中没有写清楚,但在阅读5.6节后,对我来说确实有意义,特别是
CSR根据客户的内容对客户的请求进行编码 要颁发的证书。 CSR必须至少包含一个 extensionRequest属性[RFC2985]请求subjectAltName 扩展名,包含请求的标识符。
CSR中提供的值仅是请求,而不是 保证。服务器或CA可能会更改证书中的任何字段 在发行之前。例如,CA可以删除标识符 未授权使用“授权”字段中指定的密钥。