我可以創建瀏覽器辨識的鍊式 SSL 證書嗎？

假設我有一個對 example.com 有效的證書（並由已知的 SSL 供應商提供支持）。我希望能夠擁有域 test.example.com 的測試版本，它也使用 SSL 證書進行保護，但我想這樣做而不需要支付商業證書（我意識到有“免費“證書，但幾乎所有證書都有時間限制，這對我不起作用）。

顯然可以從該證書創建一個鍊式證書。我想知道的是瀏覽器是否會將該鍊式證書辨識為有效。

請注意，example.com 的證書是 SAN 證書，涵蓋其他域，如 docs.example.com、example.org 等。

理想情況下，我希望鍊式證書也是SAN 證書，並且只提供每個域的測試類似物：test.example.com、test.docs.example.com、test.example.org 等。

我知道我需要一個單獨的 IP 地址來獲取測試證書。

順便說一下，這是在 Apache 和 CentOS 上的。

我想知道的是瀏覽器是否會將該鍊式證書辨識為有效。

他們都沒有。在您的證書中，它在Certificate Basic Constraints下具有條目：

Not Critical
Is not a Certification Authority

一旦瀏覽器將其視為中間證書，它將拒絕您使用它“簽名”的證書。

您不能從您的證書中頒發更多example.com證書。檢查其 x509 Basic Constraints 欄位。受信任的 CA 頒發給客戶端的每個證書都應該始終具有CA:FALSE約束（儘管最近，一個主要的 CA 承認向客戶端頒發證書時刪除了此限制）。

如果您需要使用自己製作的證書進行測試，則需要創建自己的 CA 並在客戶端瀏覽器中信任它。

引用自：https://serverfault.com/questions/405543