所以,我有一个通配符证书,由所有浏览器识别的可敬CA签名(Equifax)。此证书适用于* .mydomain.com并且运行良好。
现在,我想要做的是使用此证书为somedomain.mydomain.com这样的子域签署证书 - 出于安全原因,我不想将此主(通配符)证书用于此子位置。
以下是我希望实现的证书链图表:
Equifax CA == 1 ==> * .mydomain.com == 2 ==> something.mydomain.com
我希望做箭头#2,并使用生成的证书正确配置lighttpd。
我已经设法使用OpenSSL生成证书,并给出了带有通配符和CA证书的ca-crt文件。然而,这无法在我的浏览器中验证(它似乎没有看到链)。 'openssl s_client'只看到链中的2个证书(来自mydomain.com),但不包括根CA证书...
我做错了吗? (这有可能吗?)任何指针都非常赞赏:]
答案 0 :(得分:1)
你不能这样做。只有专门标记为CA证书的证书才能签署其他证书(然后他们可以签署任何其他证书,因此这些证书不会轻易分发)。
有点可惜 - 拥有“域限制CA”证书的能力会很好。