Dapatkah saya membeli sertifikat untuk domain saya yang dapat menandatangani sertifikat lain untuk subdomain?

Saya telah menulis sebuah program kecil untuk dijalankan pada komputer Windows yang melayani halaman web SSL / TLS melalui port 443 untuk mengunjungi browser web. Saya ingin mudah bagi orang-orang non-teknis untuk menginstal dan menjalankan program ini. Saya telah membuatnya mudah bagi mereka untuk membuat sertifikat yang ditandatangani sendiri atau permintaan penandatanganan sertifikat dalam program, tetapi saya pikir mereka akan berjuang untuk mendapatkan CSR yang ditandatangani dan terhubung ke nama domain yang menunjuk ke server mereka. Saya ingin mengurangi kesulitan teknis dari proses ini seminimal mungkin.

Dapatkah saya membeli sertifikat SSL yang dapat menandatangani sertifikat untuk subdomain dari nama domain saya? Sesuatu seperti customer1.mydomain.com, customer2.mydomain.com dll dan kemudian saya bisa mengarahkan subdomain DNS saya di server mereka dan menandatangani sertifikat mereka untuk mereka dan mengotomatiskan seluruh proses. Atau mungkin ini akan sangat mahal?

Jika tidak, selain meng-hosting semua aplikasi web mereka di server saya sendiri dengan sertifikat * .mydomain.com, apa solusi paling sederhana yang dapat saya berikan untuk pengaturan sertifikat SSL dan nama domain?

StartCom memiliki program Otoritas Sertifikat Menengah . Menurut situs tertaut program ini ditujukan untuk mereka yang mengeluarkan 1.000 sertifikat atau lebih dan biaya rata-rata sekitar $ 2 per sertifikat yang diterbitkan.

Kebenaran yang menyedihkan adalah bahwa apa yang Anda tuju secara teknis dimungkinkan dengan atribut x.509 Name Constraint diizinkan diizinkan Subtrees sebagaimana didefinisikan dalam RFC 2459 Bagian 4.2.1.11 , tetapi Anda tidak akan menemukan CA yang bersedia memberikan sertifikat seperti itu kepada Anda.

Beberapa tidak akan melakukan itu karena berpikir bahwa menjual sertifikat seperti itu sekali saja tidak sebaik menjual banyak sertifikat per-host berkali-kali.

Beberapa tidak akan karena persyaratan peraturan braindead yang dikeluarkan sendiri atau persyaratan dari pihak eksternal.

Ada kisah yang sangat menyedihkan tentang rantai sertifikat penyedia telekomunikasi besar yang telah menandatangani CA perantara untuk jaringan penelitian nasional yang kemudian menerbitkan sertifikat CA ke Universitas. Walaupun ini belum terdengar sangat menyedihkan, kesedihan dimulai ketika seorang pria pemberani dari penyedia telekomunikasi tersebut mencoba untuk mendapatkan sertifikat dan rantai kepercayaan yang dimasukkan ke dalam Mozilla Firefox - butuh 4 tahun diskusi, ulasan, kesalahpahaman dan bahkan lebih banyak diskusi sebelum akhirnya dimasukkan.

Apa yang dapat Anda beli sebagian besar adalah "Layanan Terkelola" di mana Anda akan menggunakan antarmuka CA untuk membuat sertifikat baru kurang lebih sesuai keinginan. Tentu saja, ini biasanya akan menghabiskan banyak uang sebelumnya dan Anda kemungkinan akan dikenakan biaya tambahan untuk setiap sertifikat yang dikeluarkan.

Masalah dengan apa yang Anda maksudkan adalah bahwa tidak ada cara bagi CA primer (Verisign, Thawte, dll.) Untuk membatasi CA bawahan (yang Anda cari) hanya menetapkan sertifikat untuk, atau valid untuk, domain tertentu . CA bawahan yang berantai ke root yang valid akan dapat membuat sertifikat untuk seluruh Internet. Inilah sebabnya mengapa Anda tidak bisa mendapatkan sertifikat CA bawahan dari siapa pun selain CA akar yang Anda buat sendiri.

Anda tidak dapat melakukan apa yang Anda cari tanpa sertifikat wildcart dari salah satu vendor sertifikat besar. Mereka dapat dibeli, tidak seperti sertifikat CA bawahan.