web-dev-qa-db-ja.com

有効なワイルドカード証明書からサブドメイン証明書を生成します

連鎖可能なSSL証明書とキーの性質を与えて、ワイルドカードサブドメインに対して発行されるメインドメインの証明書とキーに基づいて、サブドメインの証明書を生成できますか?

ここでは、1つのサブドメインに対して完全に異なるリモート(物理的)サーバーをセットアップする必要があり、万が一に備えてメインの証明書とキーがジャックされるリスクを最小限に抑えたいと考えています。

opensslユーティリティを使用してこれを行うことができます。メインドメイン、ワイルドカード証明書、およびキーを提供しますか、またはCAによって再度署名する必要がありますか?できれば、どうやって?

ありがとう

7
Cunning

まず、ワイルドカード証明書を広めることは悪い考えであることに同意します。ベストプラクティスは、別々の証明書(ドメインが異なるサーバーまたは仮想ホスト上にある場合)、またはSAN証明書(すべて同じ場所にある場合))を使用することです。

ただし、既存の証明書を使用してサブドメインの証明書に署名することはできません。 SSL証明書は、通常、使用方法に制限を付けて発行されます。 openssl x509 -in /path/to/cert.pem -noout -textを実行すると、次のような部分が表示されます

        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication

つまり、証明書はWebサーバーまたはクライアントの認証にのみ使用できます。他の証明書への署名には使用できません(または、少なくとも、この証明書で署名された証明書を信頼するクライアントはありません)。

これを実行できないのは、特定のドメイン内でのみ他の証明書に署名するために使用できる証明書をCAが発行する方法が現在ないためです。したがって、信頼できるCAが他の証明書に署名するために使用できる証明書を提供する場合、それらは事実上、インターネット上の他のサイトになりすます機能を提供します。これは悪いことであり、それが彼らがそれをしない理由です。

5
Jenny D