Answers:
问题是,当前使用的基础结构和实现不支持仅限于某些(子)域的中间证书。实际上,这意味着您可以使用任何中间证书来签署所需的任何证书,并且即使这是您不拥有的域的证书,浏览器也会信任它。
因此,这些中间证书仅授予真正值得信赖的组织,无论这意味着什么(但可能涉及很多钱)。
不可以,因为这将违反原始证书-浏览器会信任您的证书,并且您可以开始为google.com等发布内容-如果您这样做聪明,则将很难获得。
中级证书颁发机构具有很大的权力。中间CA是证书签名机构-通过根证书受信任-规范中没有任何内容可以限制从属CA。
因此,没有信誉良好的证书组织会向您提供证书。
有可能从GeoTrust购买有效的CA。
我无法在英文页面上找到该产品,但是这里是一个存档版本:
要购买GeoRoot,您必须满足以下最低要求:
- 净资产达到或超过500万美元
- 至少500万美元的失误和遗漏保险
- 公司章程(或类似文件)和在职证明
- 书面和维护的证书实践声明(CPS)
- FIPS 140-2 2级兼容设备(GeoTrust与SafeNet,Inc.合作),用于生成和存储根证书密钥
- 巴尔的摩/受托人,Entrust,Microsoft,Netscape或RSA认可的CA产品
该产品在其德语页面上仍然可用:
http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/
(这是对旧问题的新答案,因为我相信这有助于了解证书和CA背后没有“魔术”)
作为@Steffen Ullrich给出的已批准答案的扩展
识别网站内容的整个证书只是一笔大生意。X509证书(由RFC5280定义)以及其他任何人都可以是根CA或中间CA,这完全取决于您对该实体的信任。
例如:如果您在Active Directory域中,则默认情况下,您的主域控制器是受信任的根证书颁发机构。同时,绝对没有其他第三方参与。
在广泛的Internet上,问题在于确定“您可以信任的人”,因为它比一家公司大得多。因此,浏览器供应商提供了一个自定义的根CA任意列表,它将在不提示您同意的情况下信任该列表。
即:如果您与Mozilla基金会有很好的关系,则可以在下一个Firefox浏览器版本中将您自己的任意自签名根CA添加到该列表中……只是因为他们决定了!
而且,没有RFC定义行为和有关浏览器应如何操作的规则的规则。这是一个隐含的共识,因为证书的“ CN”等于域名,因此该证书应该是匹配的。
因为这在某些时候还不够,所以浏览器供应商都隐含地老化了该形式的通配符证书*.domain.com将匹配任何子域。但是它只匹配一个级别:不,sub.sub.domain.com为什么呢?因为他们只是这样决定。
现在关于您的原始问题,是什么将阻止您的主域证书为您自己的子域创建子证书,这是浏览器轻松检查的过程,只需获取证书链即可。
答案是:没有
(除了从技术上讲,您应该在自己的域证书中带有一个“标志”来执行此操作)
如果浏览器供应商觉得这很方便,则可以决定支持它。
但是,回到我的第一句话,这是一笔大钱生意。因此,很少有与浏览器供应商达成协议的根CA花费大量资金出现在该列表中。如今,他们之所以能收回这些钱,是因为您必须为每个单独的子域证书付费,或者获取更昂贵的通配符。如果他们允许您创建自己的子域证书,这将极大地减少他们的利润。因此,这就是为什么到目前为止您无法做到这一点。
好吧,您仍然可以,因为严格来说它是有效的x509证书,但是没有任何浏览器会识别它。