这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 4121 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如我买了一个wildcard(phiy.me),那么***.phiy.me都可以用这个证书;
但是有一个缺点:比如我有两台服务器,分别是a.phiy.me和b.phiy.me,他们需要公用一个证书(包括私钥)。
有没有这样一种证书,他可以用来签发证书链(类似CA一样);但是他有域名限制;
于是我的证书链就从
Globalsign-AlphaSSL-*.phiy.me
变成了
Globalsign-AlphaSSL-*.phiy.me-a.phiy.me
然后服务器上的私钥只要存a.phiy.me这一个。
主要是想起了openvpn用的证书结构……
但是有一个缺点:比如我有两台服务器,分别是a.phiy.me和b.phiy.me,他们需要公用一个证书(包括私钥)。
有没有这样一种证书,他可以用来签发证书链(类似CA一样);但是他有域名限制;
于是我的证书链就从
Globalsign-AlphaSSL-*.phiy.me
变成了
Globalsign-AlphaSSL-*.phiy.me-a.phiy.me
然后服务器上的私钥只要存a.phiy.me这一个。
主要是想起了openvpn用的证书结构……
 | 1 julyclyde 2014 年 10 月 24 日 openvpn的证书就是标准证书,没你说的这种用法吧 |
 | 2 oott123 2014 年 10 月 24 日 via Android 咦,难道不是你自己拿到的证书就是这种么? …难道我一直搞错了OTL… |
 | 3 wzxjohn 2014 年 10 月 24 日 我倒是明白了楼主的意思,就是想多个域名公用一个通配符证书的时候,私钥不需要共享。。。如果能实现这个那就太好了。。。 |
 | 5 yfdyh000 2014 年 10 月 24 日 不太明白,意思是作为有限制的中间CA签发子域证书? 直接为每个子域购买签发不可以吗,不明白通配的必要性。 另外,有机构提供中间CA的购买、签发服务,但成本估计不低。 如 https://www.wosign.com/products/EPKI_Organizations_wp.htm |
 | 6 wdlth 2014 年 10 月 24 日 类似PKI?我估计很难做到,除非整个浏览器的证书校验方式全换掉。 因为校验时看的是Common Name,而中级证书的Common Name是不是域名已经不重要了,因为它只是证书链中的一环,叫什么名字都可以。 |
| 8 yfdyh000 2014 年 10 月 24 日 @lsylsy2 http://www.wosign.cn/products/EPKI_price.htm 参考 估计还有不少限制吧,服务协议,企业资质,用他们的后台面板,他们可吊销等等。总之随便开肯定会被吊销的。中间CA,个人用不上,服务和维护成本太高了。 |
| 9 wdlth 2014 年 10 月 24 日 @lsylsy2 系统里面带有的中间CA只有Google、微软、英特尔等业界巨头,还有NetworkSolution、Gandi等大型域名主机提供商,我估计已经不是钱的问题了…… |
 | 11 msg7086 2014 年 10 月 25 日 via iPhone CA实现的就是任意签发,所以不能这么做 泛域名证书本来就是为了一个证书多个子域。如果要单独签发的话直接单域名证书即可。 |
| 13 yfdyh000 2014 年 10 月 26 日 @wdlth 根CA的要求比中间CA高多了,必须预装,还得经过国际审核。中间CA只要上级CA信任就可以了。 如果你指中间CA,的确,也得有企业资质。所以楼主目前的想法应该做不到。 11楼说的没错,楼主你直接买单域名证书不行吗。 |
 | 14 invite 2014 年 10 月 31 日 明白了楼主的意思, 楼主想要的证书是可以签发其他证书的, 但是只能签发楼主证书指定的域名下的证书. |
Select Language