Lás*_*zki 1 ssl ssl-certificate
我有来自sslforfree的 SSL 证书。我有ca-bundle,certificate和它的private钥匙。
我想为不同的子域创建自己的证书。我希望以某种方式,我可以以某种方式用我现有的证书签署该证书,它会通过浏览器和邮件客户端以及其他人所做的所有 ssl 检查。
我遵循了几十个教程,但要么我错过了一个重要的细微差别,要么这些教程不是我想要的。
任何人都可以帮助我,我如何使用opensslfrom签署我的新证书CentOS 7?
从技术上讲,您可以这样做,但没有人会信任这些证书。您的 SSL 证书*不允许*签署其他证书。
如果您查看您的证书,您可能会发现一个Basic Constraints证书扩展名,它说明了主题类型:终端实体或 CA。isCAbit 将被设置为 0,这意味着证书的持有者是最终实体。证书验证码会严格检查此字段,如果发现终端实体证书被用于签署其他证书,将自动拒绝。供参考:RFC 5280 §4.2.1.9