我需要什麼樣的 SSL 證書，從哪裡獲得？

我想在我的域中擁有帶有 SSL 的子域。主要區別在於每個子域由具有不同公鑰/私鑰對的不同人託管。

讓我用一個例子來說明：

1. 使用者發送他的公鑰並從 foo.com 請求子域
2. 添加使用者並分配子域 bar (bar.foo.com)。儲存使用者公鑰以供將來針對 bar.foo.com 進行驗證
3. 使用者訪問 bar.foo.com 並查看經過驗證的 SSL 連接。

據我所知，這意味著我需要創建一個 CA，這很好。問題是，據我回憶，CA 需要一種特殊的 SSL 證書。我該如何得到這個？

鑑於您對我上述評論的回答，我同意 Ladadadada。創建 CA 很容易，但要讓其他人信任它卻很難：要麼你需要將你的 CA 根證書分發給他們每個人（你不能這樣做，因為你已經確認他們是隨機的最終使用者） ，或者您需要讓瀏覽器製造商將其包含在他們的標準受信任捆綁包中（祝您好運）。

由於您不想只告訴每個子域所有者自己做，我能看到的唯一剩下的選擇是讓每個子域所有者生成 CSR，然後您充當中央票據交換所，送出其中的每一個發給證書頒發機構的 CSR。

許多大型 SSL 證書機構都有一項政策，您可以通過一次性冗長的過程來確立自己對 (eg) 的權威example.com，但是一旦完成，您為內部任何內容所做的應用程序example.com顯然會很快通過。

我不使用 Verisign（或現在的賽門鐵克），即使我這樣做也不會在這裡認可它們；我只是簡單地連結到它們，以便您可以看到這種安排的一個範例：賽門鐵克的門戶，可讓您成為域的權威（“關鍵功能”包括“在預先批准的域上即時頒發證書”）。如果您決定採用這條路線，您應該貨比三家並選擇適合您的 SSL 證書頒發者。

引用自：https://serverfault.com/questions/443925