Posso acquistare un certificato per il mio dominio che può firmare altri certificati per sottodomini?

Ho scritto un piccolo programma da eseguire su un computer Windows che serve pagine Web SSL / TLS attraverso la porta 443 per visitare i browser Web. Voglio che sia facile per le persone non tecniche installare ed eseguire questo programma. Ho reso facile per loro creare un certificato autofirmato o una richiesta di firma del certificato nel programma, ma penso che faranno fatica a ottenere la CSR firmata e connessa a un nome di dominio che punta al loro server. Voglio ridurre al minimo le difficoltà tecniche di questo processo.

Posso acquistare un certificato SSL che può firmare certificati per sottodomini del mio nome di dominio? Qualcosa come customer1.mydomain.com, customer2.mydomain.com ecc. E quindi potrei indirizzare i miei sottodomini DNS sui loro server e firmare i loro certificati per loro e automatizzare l'intero processo. O forse questo sarebbe molto costoso?

In caso contrario, a parte l'hosting di tutte le loro applicazioni Web sul mio server con un certificato * .mydomain.com, qual è la soluzione più semplice che posso offrire per l'impostazione dei certificati SSL e dei nomi di dominio?

StartCom ha un programma di Autorità di certificazione intermedia . Secondo il sito collegato il programma è destinato a coloro che emettono 1.000 o più certificati e il costo medio è di circa $ 2 per certificato emesso.

La triste verità è che ciò a cui aspiri è tecnicamente possibile con l'attributo Substrato consentito .

Alcuni non lo faranno a causa del pensiero che venderti un tale certificato una volta non è buono come venderti molte certificazioni per host molte volte.

Alcuni non saranno dovuti a requisiti normativi di Braindead autonomi o requisiti di parti esterne.

C'è una storia molto triste sulla catena di certificati di un grande fornitore di telecomunicazioni che ha firmato CA intermedie per una rete di ricerca nazionale che a sua volta ha rilasciato certificati CA alle università. Anche se questo non sembra ancora molto triste, la tristezza inizia quando un uomo coraggioso del suddetto fornitore di telecomunicazioni ha cercato di ottenere il certificato e la catena di fiducia inclusa in Mozilla Firefox : ci sono voluti 4 anni di discussioni, recensioni, incomprensioni e ancora più discussioni prima è stato finalmente incluso.

Ciò che è possibile acquistare è principalmente un "Servizio gestito" in cui si utilizzerebbero le interfacce della CA per creare nuovi certificati più o meno a piacimento. Naturalmente, questo in genere costerà in anticipo un sacco di soldi e probabilmente ti verrà addebitato un costo aggiuntivo per ogni certificato rilasciato.

Il problema con ciò che si intende è che non esiste alcun modo per una CA primaria (Verisign, Thawte, ecc.) Di vincolare una CA subordinata (ciò che si sta cercando) per assegnare certificati o essere validi solo per un dominio specifico . Una CA subordinata che si collega a una radice valida sarà in grado di creare certificati per l'intera Internet. Questo è il motivo per cui non è possibile ottenere un certificato CA subordinato da chiunque tranne che da una CA radice che si crea.

Non puoi fare ciò che stai cercando senza un certificato WildCart da uno dei grandi fornitori di certificati. Questi possono essere acquistati, a differenza dei certificati CA subordinati.