Kann ich ein Zertifikat für meine Domain erwerben, das andere Zertifikate für Subdomains signieren kann?

Ich habe ein kleines Programm geschrieben, das auf einem Windows-Computer ausgeführt werden kann, der SSL / TLS-Webseiten über Port 443 für den Besuch von Webbrowsern bereitstellt. Ich möchte, dass es für Nicht-Techniker einfach ist, dieses Programm zu installieren und auszuführen. Ich habe es ihnen leicht gemacht, ein selbstsigniertes Zertifikat oder eine Zertifikatsignierungsanforderung im Programm zu erstellen, aber ich denke, sie werden Schwierigkeiten haben, die CSR zu signieren und eine Verbindung zu einem Domainnamen herzustellen, der auf ihren Server verweist. Ich möchte die technischen Schwierigkeiten dieses Prozesses auf ein Minimum reduzieren.

Kann ich ein SSL-Zertifikat erwerben, das Zertifikate für Subdomains meines Domainnamens signieren kann? So etwas wie customer1.mydomain.com, customer2.mydomain.com usw. und dann könnte ich meine DNS-Unterdomänen auf ihre Server verweisen und ihre Zertifikate für sie signieren und den gesamten Prozess automatisieren. Oder wäre das vielleicht sehr teuer?

Wenn nicht, abgesehen davon, dass alle ihre Webanwendungen auf meinem eigenen Server mit einem * .mydomain.com-Zertifikat gehostet werden, was ist die einfachste Lösung, die ich ihnen zum Einrichten der SSL-Zertifikate und Domainnamen geben kann?

StartCom verfügt über ein Programm für Zwischenzertifizierungsstellen . Laut der verlinkten Seite ist das Programm für diejenigen gedacht, die 1.000 oder mehr Zertifikate ausstellen, und die durchschnittlichen Kosten betragen ca. 2 USD pro ausgestelltem Zertifikat.

Die traurige Wahrheit ist, dass das, was Sie anstreben , mit dem Attribut x.509 Name Constraint allowedSubtrees , wie in RFC 2459, Abschnitt 4.2.1.11 definiert, technisch möglich ist , aber Sie werden kaum eine Zertifizierungsstelle finden, die bereit ist, Ihnen ein solches Zertifikat zur Verfügung zu stellen.

Einige werden das nicht tun, weil sie der Meinung sind, dass der Verkauf eines solchen Zertifikats nicht so gut ist wie der Verkauf vieler Pro-Host-Zertifikate.

Einige werden nicht aufgrund von selbst auferlegten Braindead-Vorschriften oder Anforderungen externer Parteien.

Es gibt eine sehr sehr traurige Geschichte über die Zertifikatskette eines großen Telekommunikationsanbieters, der Zwischenzertifizierungsstellen für ein nationales Forschungsnetzwerk unterzeichnet hat, das wiederum CA-Zertifikate an Universitäten ausgestellt hat. Obwohl dies noch nicht sehr traurig klingt, beginnt die Traurigkeit, als ein mutiger Mann vom oben genannten Telekommunikationsanbieter versuchte, das Zertifikat und die Vertrauenskette in Mozilla Firefox aufzunehmen - es dauerte 4 Jahre, bis Diskussionen, Überprüfungen, Missverständnisse und noch mehr Diskussionen stattfanden es wurde endlich aufgenommen.

Was Sie kaufen können, ist meistens ein "Managed Service", bei dem Sie die Schnittstellen der Zertifizierungsstelle verwenden würden, um mehr oder weniger nach Belieben neue Zertifikate zu erstellen. Natürlich kostet dies in der Regel im Voraus eine Menge Geld und Sie werden wahrscheinlich für jedes ausgestellte Zertifikat zusätzlich belastet.

Das Problem mit Ihrer Absicht ist, dass eine primäre Zertifizierungsstelle (Verisign, Thawte usw.) eine untergeordnete Zertifizierungsstelle (nach der Sie suchen) nicht dazu zwingen kann, nur Zertifikate für eine bestimmte Domäne zuzuweisen oder für diese gültig zu sein . Eine untergeordnete Zertifizierungsstelle, die mit einem gültigen Stamm verknüpft ist, kann Zertifikate für das gesamte Internet erstellen. Aus diesem Grund können Sie nur von einer Stammzertifizierungsstelle, die Sie selbst erstellt haben, ein Zertifikat einer untergeordneten Zertifizierungsstelle erhalten.

Sie können nicht das tun, wonach Sie suchen, ohne ein Wildcart-Zertifikat von einem der großen Zertifikatsanbieter zu besitzen. Diese können im Gegensatz zu untergeordneten CA-Zertifikaten gekauft werden.