У моей организации есть групповой сертификат для нашего домена и его поддоменов. Допустим, * .serverfault.com. Мы хотим использовать сторонний веб-хост в качестве CDN для нашего содержимого изображений, но мы хотим, чтобы там был домен media.serverfault.com. Мы не хотим устанавливать подстановочный сертификат у третьей стороны из соображений безопасности. Мы бы предпочли, чтобы установленный нами сертификат был действителен только для media.serverfault.com.
Возможно ли это? Могли бы браузеры вызвать проблемы, если бы сертификат для * .serverfault.com и media.serverfault.com был получен из разных корневых центров сертификации? Или есть способ использовать сертификат подстановочного знака * .serverfault.com для создания сертификата для media.serverfault.com?
При такой настройке у браузеров не будет проблем. Нет никакой связи между записями DNS и сертификатами. Пока существует цепочка доверия от сертификата до корневого центра сертификации, все в порядке.