Могу ли я приобрести сертификат для своего домена, который может подписывать другие сертификаты для поддоменов?

Я написал небольшую программу для запуска на компьютере с Windows, которая обслуживает веб-страницы SSL / TLS через порт 443 для посещающих веб-браузеров. Я хочу, чтобы нетехнические люди могли легко установить и запустить эту программу. Я упростил для них создание самоподписанного сертификата или запроса на подпись сертификата в программе, но я думаю, что им будет сложно получить подписанный CSR и подключиться к доменному имени, которое указывает на их сервер. Я хочу свести техническую сложность этого процесса к минимуму.

Могу ли я приобрести сертификат SSL, который может подписывать сертификаты для поддоменов моего доменного имени? Что-то вроде customer1.mydomain.com, customer2.mydomain.com и т. Д., А затем я могу указать свои субдомены DNS на их серверах и подписать их сертификаты для них и автоматизировать весь процесс. Или, может быть, это будет очень дорого?

Если нет, то, кроме размещения всех их веб-приложений на моем собственном сервере с сертификатом * .mydomain.com, какое простое решение я могу им дать для настройки SSL-сертификатов и доменных имен?

StartCom имеет программу промежуточного центра сертификации . Согласно ссылкам на сайт, программа предназначена для тех, кто выпускает 1000 или более сертификатов, а средняя стоимость составляет около 2 долларов США за каждый выданный сертификат.

Печальная истина заключается в том, что то, к чему вы стремитесь, технически возможно с помощью атрибута x.509 Name Constraint разрешеноSubtrees, как определено в RFC 2459, раздел 4.2.1.11 , но вы вряд ли найдете какой-либо ЦС, готовый предоставить вам такой сертификат.

Некоторые не будут этого делать из-за мысли, что однажды продать вам такой сертификат не так хорошо, как много раз продавать вам сертификаты для каждого хоста.

Некоторые не будут из-за собственных понятий нормативно-правовой базы или требований внешних сторон.

Существует очень и очень печальная история о цепочке сертификатов крупного провайдера телекоммуникационных услуг, который подписал промежуточные центры сертификации для национальной исследовательской сети, которая, в свою очередь, выдала сертификаты центров сертификации университетам. Хотя это пока не звучит очень печально, но печаль начинается с того, что смелый человек из вышеупомянутого провайдера телекоммуникаций попытался получить сертификат и цепочку доверия, включенную в Mozilla Firefox - на это потребовалось 4 года обсуждений, обзоров, недоразумений и еще большего количества обсуждений, прежде чем это было наконец включено.

В основном вы можете приобрести «Управляемую услугу», в которой вы будете использовать интерфейсы ЦС для создания новых сертификатов более или менее по желанию. Конечно, это, как правило, будет стоить много денег заранее, и вам, вероятно, придется платить дополнительно за каждый выданный сертификат.

Проблема с тем, что вы намереваетесь, заключается в том, что первичный ЦС (Verisign, Thawte и т. Д.) Не может ограничить подчиненный ЦС (то, что вы ищете) назначать только сертификаты для определенного домена или быть действительным для конкретного домена. , Подчиненный ЦС, связанный с действительным корнем, сможет создавать сертификаты для всего Интернета. Вот почему вы не можете получить сертификат подчиненного ЦС ни от кого, кроме корневого ЦС, который вы делаете сами.

Вы не можете делать то, что ищете, без сертификата подстановочного знака от одного из крупных поставщиков сертификатов. Их можно купить, в отличие от сертификатов подчиненных ЦС.