На этот вопрос уже есть ответ здесь:
Если я куплю подписанный сертификат для example.com
, могу ли я затем создать суб-сертификаты для a.example.com
и b.example.com
]?
Эти суб-сертификаты будут содержать файлы PEM, конфиденциальность которых не может быть гарантирована.
Могу ли я сделать это, сохранив конфиденциальность корневого сертификата и создав неограниченное количество одноразовых субсертификатов, которые все равно будут признаны действительными исходным органом подписи?
Нет, это не сработает.
Для подписания сертификатов вам потребуется собственный сертификат центра сертификации . Приобретаемые вами сертификаты подписаны центром сертификации, но специально отмечены как , а не как сертификат центра сертификации.
Проверьте "Основные ограничения сертификата" в своем сертификате, и вы увидит, что это «не центр сертификации».
Если вам нужно более одного домена, покрытого SSL, вам необходимо купить SSL-сертификат с подстановочными знаками. Это касается доменного имени и всех поддоменов. Не забудьте создать сертификат SSL для *. Example.com
: в противном случае вы подписываете только свой обычный домен.
Если у вас два разных домена, вам понадобится SSL для каждого домена.
Или, если у вас есть только один поддомен, иногда два обычных сертификата SSL дешевле, чем подстановочный знак.