ドメイン A 用に単一の SSL 証明書を購入し、ドメイン A を参照として他のすべてのドメインに署名できますか?
うまくいきますか?
ドメイン A 用に単一の SSL 証明書を購入し、ドメイン A を参照として他のすべてのドメインに署名できますか?
うまくいきますか?
これらの証明書を確実にインストールできます。ただし、自己署名証明書と同様に、主な問題は、検証チェーンが壊れているためにブラウザーで検証できないことです。
要するに、あなたが望むようには機能しません。
いいえ、できません。SSL の証明書は、特定の許可された使用法 (証明書にエンコードされています) で発行されます。これには、他の証明書への署名は含まれません。
したがって、技術的には証明書 A のキーを使用して他のドメインの証明書に署名することはできますが、そのような署名付き証明書は正しく検証されず、機能しません。
ワイルドカード証明書を探していると思います。*.mydomain.com の証明書を発行すると、sub1.mydomain.com、sub2.mydomain.com などに対して有効になります。
mydomain.com の証明書を取得し、それを使用して otherdomain.com の証明書を生成しようとしても、うまくいきません。
参考までに、ワイルドカード証明書は、私が覚えているものよりもかなり高価です。
編集:質問を読み直して、2番目のオプションを実行したいのですが、いいえ、それはできません。無効な証明書が表示されることになり、ほとんどのブラウザーは、証明書が信頼できるソースからのものではないという巨大な警告サインを表示します。ドメイン A の証明書を信頼できる署名者として参照しますが、それはチェーンのさらに上の信頼できる署名者によって発行されたものではありません。あなたが望んでいたことが可能であれば、信頼できる署名者/TLS インフラストラクチャ全体が役に立たなくなります。(証明書を取得するのは簡単/安価であるため、取引が議論の余地があると考えている相手と取引していることを確認するための基本的なTLSの有用性。したがって、拡張検証証明書の存在。)
証明書からさらに証明書に署名することはできません。それ以外の場合は、www.paypal.com のようなものに独自の正当な SSL 証明書で署名することができます。これは、ブラックハット カンファレンスでの MITM 攻撃によって可能であることが示されましたが、それ以降は不可能になっています。
ただし、マルチドメイン証明書を取得できます。これらの証明書を使用すると、SAN フィールド (サブジェクトの別名) に追加のドメインを含めることができます。そのため、証明書は単一のドメインに対して生成され、追加のドメインは SSL プロバイダーへの登録プロセス中に追加されます。リクエストする各ドメインの所有権を確認する必要があります。
これらの証明書を使用すると、1 つの SSL 証明書を使用して、1 つの IP で複数の FQDN をホストできます。
さらに、ワイルドカード証明書もありますが、これらは *.domain.com を単一の証明書でしか保護できません。