Generieren Sie ein Subdomain-Zertifikat aus einem gültigen Platzhalterzertifikat

7

Kann ich (ich) ein Zertifikat für eine Subdomain erstellen, das auf dem Hauptdomänenzertifikat und dem Schlüssel basiert, die für Platzhalter-Subdomains ausgestellt werden?

Die Praxis hier ist, dass ich einen neuen, völlig anderen und (physischen) Remote-Server für nur eine Subdomain einrichten muss und das Risiko minimieren möchte, dass das Hauptzertifikat und die Schlüssel für alle Fälle aufgebockt werden.

Kann ich dies mit dem Dienstprogramm openssl tun, das meine Hauptdomäne, mein Platzhalterzertifikat und meine Schlüssel bereitstellt, oder sollte ich erneut von der Zertifizierungsstelle zurücktreten? Wenn ja, wie?

Vielen Dank

ssl ssl-certificate openssl Gerissen
quelle
Sollte hier erklärt werden: stackoverflow.com/questions/21319841/…
Joshua Griffiths
3
Mögliches Duplikat des Signing Wildcard-Zertifikats für eine Subdomain
duskwuff -inactive-

Antworten:

6

Erstens stimme ich zu, dass es eine schlechte Idee ist, Platzhalterzertifikate zu verbreiten. Es wird empfohlen, entweder separate Zertifikate (wenn sich die Domänen auf verschiedenen Servern oder virtuellen Hosts befinden) oder SAN-Zertifikate (wenn sich alle am selben Ort befinden) zu verwenden.

Sie sollten jedoch nicht in der Lage sein, Ihr vorhandenes Zertifikat zum Signieren des Zertifikats einer Subdomain zu verwenden. SSL-Zertifikate werden normalerweise mit einer Einschränkung ihrer Verwendung ausgestellt. Wenn Sie rennen openssl x509 -in /path/to/cert.pem -noout -text, sehen Sie einen Teil, der aussieht wie

        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication

Dies bedeutet, dass das Zertifikat nur zur Authentifizierung eines Webservers oder Clients verwendet werden kann. Es kann nicht zum Signieren anderer Zertifikate verwendet werden (oder zumindest vertraut kein Client einem von diesem signierten Zertifikat).

Der Grund, warum Sie dies nicht tun können, besteht darin, dass eine Zertifizierungsstelle derzeit keine Möglichkeit hat, ein Zertifikat auszustellen, mit dem nur andere Zertifikate innerhalb einer bestimmten Domäne signiert werden können. Wenn eine vertrauenswürdige Zertifizierungsstelle Ihnen ein Zertifikat aushändigt, mit dem Sie andere Zertifikate signieren können, können Sie sich somit als eine andere Site im Internet ausgeben. Das wäre schlecht und deshalb tun sie es nicht.

Jenny D.
quelle
1
„Der Grund , warum diese nicht tun kann , ist , dass es derzeit keine Möglichkeit für eine CA ein Zertifikat auszustellen , die verwendet werden können , andere Zertifikate innerhalb einer bestimmten Domäne nur zu unterschreiben.“: TIL warum CAs dumme Dinge weiterhin tun , wie diese .
Kevin
1
@ Kevin Yep ... Es gibt eine Erweiterung, mit der das Signieren von Zertifikaten darauf beschränkt wird, nur Zertifikate innerhalb einer bestimmten Domain zu signieren. Es dauert jedoch eine Weile, bis es sich so weit verbreitet, dass es verwendet werden kann.
Jenny D