从CA颁发的HTTP证书生成子证书

Question

所以，我有一个通配符证书，由所有浏览器都能识别的可敬的CA（Equifax）签名。此证书适用于* .mydomain.com，效果良好。

现在，我想要做的就是使用此证书签署像some.mydomain.com这样的子域名的证书 - 我不希望为安全原因使用我的主要（通配符）证书作为此子位置。

这里是证书链的示图我期待实现：

的Equifax CA == 1 ==> * .mydomain.com来== 2 ==> something.mydomain.com

我正在寻找箭头＃2，以及正确配置lighttpd与最终的证书。

我已经设法使用OpenSSL生成证书，并给出了带有通配符和CA证书的ca-crt文件。然而这无法在我的浏览器中验证（它似乎没有看到链）。 'openssl s_client'只能看到链中的两个证书（来自mydomain.com），但不包括根CA证书...

我做错了什么？ （这是甚至可能吗？）任何指针非常感谢：]

Answer 1

你不能这样做。只有专门标记为CA证书的证书才能签署其他证书（然后他们可以签署任何其他证书，所以这些证书不会轻易分发）。

这是有点可惜 - 具有“域限制CA”证书的能力会很好。