Apache-2.2
我可以創建瀏覽器辨識的鍊式 SSL 證書嗎?
假設我有一個對 example.com 有效的證書(並由已知的 SSL 供應商提供支持)。我希望能夠擁有域 test.example.com 的測試版本,它也使用 SSL 證書進行保護,但我想這樣做而不需要支付商業證書(我意識到有“免費“證書,但幾乎所有證書都有時間限制,這對我不起作用)。
顯然可以從該證書創建一個鍊式證書。我想知道的是瀏覽器是否會將該鍊式證書辨識為有效。
請注意,example.com 的證書是 SAN 證書,涵蓋其他域,如 docs.example.com、example.org 等。
理想情況下,我希望鍊式證書也是SAN 證書,並且只提供每個域的測試類似物:test.example.com、test.docs.example.com、test.example.org 等。
我知道我需要一個單獨的 IP 地址來獲取測試證書。
順便說一下,這是在 Apache 和 CentOS 上的。
我想知道的是瀏覽器是否會將該鍊式證書辨識為有效。
他們都沒有。在您的證書中,它在Certificate Basic Constraints下具有條目:
Not Critical Is not a Certification Authority
一旦瀏覽器將其視為中間證書,它將拒絕您使用它“簽名”的證書。
您不能從您的證書中頒發更多
example.com
證書。檢查其 x509 Basic Constraints 欄位。受信任的 CA 頒發給客戶端的每個證書都應該始終具有CA:FALSE
約束(儘管最近,一個主要的 CA 承認向客戶端頒發證書時刪除了此限制)。如果您需要使用自己製作的證書進行測試,則需要創建自己的 CA 並在客戶端瀏覽器中信任它。