我可以为我的域购买可以签署子域其他证书的证书吗？

我编写了一个小程序，可以在Windows计算机上运行，​​该计算机通过端口443向访问Web浏览器提供SSL / TLS网页。我希望非技术人员可以轻松安装和运行该程序。我使他们可以轻松地在程序中创建自签名证书或证书签名请求，但是我认为他们将努力使CSR签名并连接到指向其服务器的域名。我想将这个过程的技术难度降低到最小。

我可以购买可以为我的域名子域签名证书的SSL证书吗？诸如customer1.mydomain.com，customer2.mydomain.com等之类的东西，然后我可以将我的DNS子域指向它们的服务器，并为它们签名他们的证书，并使整个过程自动化。也许这会很昂贵？

如果不是，除了使用* .mydomain.com证书将所有Web应用程序托管在我自己的服务器上之外，我可以给他们设置SSL证书和域名的最简单解决方案是什么？

StartCom有一个中级证书颁发机构计划。根据链接的网站，该程序适用于发行1000份或更多证书的人员，每张证书的平均成本约为2美元。

可悲的事实是，您的目标在技术上可以使用RFC 2459第4.2.1.11节中定义的x.509名称约束allowedSubtrees属性，但是几乎找不到愿意为您提供这种证书的CA。

由于有人认为一次出售给您这样的证书不如多次出售给您每个主机证书那么好，所以有些人不会这样做。

有些人将不会由于自发的脑残监管要求或外部各方的要求。

关于一家大型电信提供商的证书链，这是一个非常可悲的故事，该提供商已为国家研究网络签署了中间CA，而后者又向大学颁发了CA证书。虽然这听起来还不是很令人难过，但悲伤始于上述电信提供商的一个勇敢的人，试图获得证书并将信任链包含在Mozilla Firefox中 -历经4年的讨论，评论，误解甚至进行了更多讨论它终于被包括在内。

您可以购买的大多是一些“托管服务”，您可以在其中使用CA的界面随意或多或少地创建新证书。当然，这通常会事先花费很多钱，而且您可能需要为每张颁发的证书额外付费。

您打算使用的问题是主CA（Verisign，Thawte等）无法约束下级CA（您要查找的内容）仅为特定域分配证书或对特定域有效。链接到有效根的从属CA将能够为整个Internet创建证书。这就是为什么您无法从自己创建的根CA那里获得任何从属CA证书的原因。

如果没有大型证书供应商之一的通配证书，就无法做您想要的事情。可以购买这些证书，与从属CA证书不同。