有没有这样一种“有限制的 CA”的证书 - V2EX

有没有这样一种“有限制的 CA”的证书 - V2EX

Home Sign Up Sign In

这是一个专门讨论 idea 的地方。

每个人的时间，资源是有限的，有的时候你或许能够想到很多 idea，但是由于现实的限制，却并不是所有的 idea 都能够成为现实。

那这个时候，不妨可以把那些 idea 分享出来，启发别人。

This topic created in 4225 days ago, the information mentioned may be changed or developed.

比如我买了一个wildcard（phiy.me），那么***.phiy.me都可以用这个证书；
但是有一个缺点：比如我有两台服务器，分别是a.phiy.me和b.phiy.me，他们需要公用一个证书（包括私钥）。
有没有这样一种证书，他可以用来签发证书链（类似CA一样）；但是他有域名限制；
于是我的证书链就从
Globalsign-AlphaSSL-*.phiy.me
变成了
Globalsign-AlphaSSL-*.phiy.me-a.phiy.me
然后服务器上的私钥只要存a.phiy.me这一个。
主要是想起了openvpn用的证书结构……

14 replies 2014-10-31 11:08:18 +08:00

1

julyclyde

Oct 24, 2014

openvpn的证书就是标准证书，没你说的这种用法吧

2

oott123

Oct 24, 2014 via Android

咦，难道不是你自己拿到的证书就是这种么？
…难道我一直搞错了OTL…

3

wzxjohn

Oct 24, 2014

我倒是明白了楼主的意思，就是想多个域名公用一个通配符证书的时候，私钥不需要共享。。。如果能实现这个那就太好了。。。

4

GPU

Oct 24, 2014

@wzxjohn +1 同样明白。

5

yfdyh000

Oct 24, 2014

不太明白，意思是作为有限制的中间CA签发子域证书？
直接为每个子域购买签发不可以吗，不明白通配的必要性。

另外，有机构提供中间CA的购买、签发服务，但成本估计不低。
如 https://www.wosign.com/products/EPKI_Organizations_wp.htm

6

wdlth

Oct 24, 2014

类似PKI？我估计很难做到，除非整个浏览器的证书校验方式全换掉。
因为校验时看的是Common Name，而中级证书的Common Name是不是域名已经不重要了，因为它只是证书链中的一环，叫什么名字都可以。

7

lsylsy2

OP

Oct 24, 2014

@yfdyh000
@wdlth
他这个提供的服务相当于我花多少钱，这个域名底下随便开证书？

8

yfdyh000

Oct 24, 2014

@lsylsy2 http://www.wosign.cn/products/EPKI_price.htm 参考
估计还有不少限制吧，服务协议，企业资质，用他们的后台面板，他们可吊销等等。总之随便开肯定会被吊销的。中间CA，个人用不上，服务和维护成本太高了。

9

wdlth

Oct 24, 2014

@lsylsy2 系统里面带有的中间CA只有Google、微软、英特尔等业界巨头，还有NetworkSolution、Gandi等大型域名主机提供商，我估计已经不是钱的问题了……

10

yfdyh000

Oct 24, 2014

@wdlth 中间CA可以被上级CA直接授予吧，不必预装在用户系统中。
就是通过相关的资质审核，然后在各厂商申请和审核一两年。

11

msg7086

Oct 25, 2014 via iPhone

CA实现的就是任意签发，所以不能这么做

泛域名证书本来就是为了一个证书多个子域。如果要单独签发的话直接单域名证书即可。

12

wdlth

Oct 25, 2014

@yfdyh000 但问题是可信根CA也只会颁发给可信企业……

13

yfdyh000

Oct 26, 2014

@wdlth 根CA的要求比中间CA高多了，必须预装，还得经过国际审核。中间CA只要上级CA信任就可以了。
如果你指中间CA，的确，也得有企业资质。所以楼主目前的想法应该做不到。

11楼说的没错，楼主你直接买单域名证书不行吗。

14

invite

Oct 31, 2014

明白了楼主的意思, 楼主想要的证书是可以签发其他证书的, 但是只能签发楼主证书指定的域名下的证书.

About Help Advertise Blog API FAQ Solana 1164 Online Highest 6679

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 54ms UTC 23:04 PVG 07:04 LAX 16:04 JFK 19:04
Do have faith in what you're doing.

ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86