Использование действительного подстановочного SSL-сертификата для создания нового сертификата для поддомена

Мы приобрели действительный подстановочный SSL-сертификат от Entrust.

Допустим, это групповой сертификат, который охватывает *.ourcompany.com

Я понимаю, что мы можем использовать этот сертификат непосредственно в наших веб-сервисах.

Поскольку серверов будет много, мы хотели немного заблокировать подстановочный сертификат.

Можем ли мы использовать этот подстановочный сертификат для подписи отдельного набора сертификатов для поддоменов, таких как service1.ourcompany.com, service2.ourcompany.com и т. д.? (без привлечения Entrust для каждого из этих поддоменов/подсервисов).

Плюсы:

  • Если одна из этих служб будет скомпрометирована, она будет ограничена только этой службой;
  • Нам не нужно тянуться к Entrust по каждому из поддоменов (т.к. их может быть много) - еще и по стоимости..

Другими словами, я думаю, можно ли рассматривать подстановочный ssl-сертификат как «авторитет» для проверки ssl-сертификатов в поддоменах. (быть частью цепочки SSL-сертификатов)

Спасибо.


ssl certificate ssl-certificate openssl truststore
person Tagar    schedule 04.12.2018    source источник
comment
Любой сертификат сервера (подстановочный или нет) не может выдавать другие сертификаты. Dupe stackoverflow.com/questions/10787452/, но не программирование, так что не совсем актуально; лучше на security.stackexchange.com/q/18188 security.stackexchange.com/q/47267 или serverfault.com/q/274852 . Если у вас нет денег, LetsEncrypt.org бесплатен и теперь поддерживает подстановочные знаки (но вам нужно запускать программное обеспечение, которое с ними взаимодействует).   -  person dave_thompson_085    schedule 05.12.2018
comment
Как сказал dave_thompson_085, это предположение: Другими словами, я думаю, что если можно рассматривать подстановочный ssl-сертификат как авторитет, это просто неверно. Конечный сертификат — это просто конечный сертификат, он что-то удостоверяет (хост, список хостов, подстановочный знак, IP-адрес и т. д.), и это все. Если вам нужны сертификаты, которые проверяют другие сертификаты, вам нужно быть ЦС или субЦС. Технически любой может настроить ЦС локально, за исключением, конечно, того, что никто другой не будет доверять вашему ЦС по умолчанию, поэтому созданные сертификаты будут вызывать предупреждения/ошибки.   -  person Patrick Mevzek    schedule 06.12.2018
comment
в этом есть смысл. Спасибо вам обоим   -  person Tagar    schedule 06.12.2018