Мы приобрели действительный подстановочный SSL-сертификат от Entrust.
Допустим, это групповой сертификат, который охватывает *.ourcompany.com
Я понимаю, что мы можем использовать этот сертификат непосредственно в наших веб-сервисах.
Поскольку серверов будет много, мы хотели немного заблокировать подстановочный сертификат.
Можем ли мы использовать этот подстановочный сертификат для подписи отдельного набора сертификатов для поддоменов, таких как service1.ourcompany.com
, service2.ourcompany.com
и т. д.? (без привлечения Entrust для каждого из этих поддоменов/подсервисов).
Плюсы:
- Если одна из этих служб будет скомпрометирована, она будет ограничена только этой службой;
- Нам не нужно тянуться к Entrust по каждому из поддоменов (т.к. их может быть много) - еще и по стоимости..
Другими словами, я думаю, можно ли рассматривать подстановочный ssl-сертификат как «авторитет» для проверки ssl-сертификатов в поддоменах. (быть частью цепочки SSL-сертификатов)
Спасибо.