Posso comprar um certificado para o meu domínio que possa assinar outros certificados para subdomínios?

Eu escrevi um pequeno programa para ser executado em um computador Windows que serve páginas da Web SSL / TLS pela porta 443 para visitar navegadores da web. Quero que seja fácil para pessoas não técnicas instalar e executar este programa. Facilitei a criação de um certificado autoassinado ou uma solicitação de assinatura de certificado no programa, mas acho que eles terão dificuldade em obter o CSR assinado e conectado a um nome de domínio que aponte para o servidor. Eu quero reduzir ao mínimo a dificuldade técnica deste processo.

Posso comprar um certificado SSL que possa assinar certificados para subdomínios do meu nome de domínio? Algo como customer1.meudominio.com, customer2.meudominio.com etc, e então eu poderia apontar meus subdomínios DNS nos servidores deles, assinar seus certificados e automatizar todo o processo. Ou talvez isso seria muito caro?

Caso contrário, além de hospedar todos os aplicativos da Web no meu próprio servidor com um certificado * .mydomain.com, qual é a solução mais simples que posso oferecer para configurar os certificados SSL e os nomes de domínio?

A StartCom possui um programa de Autoridade de Certificação Intermediária . De acordo com o site vinculado, o programa é destinado àqueles que emitem 1.000 ou mais certificados e o custo médio é de cerca de US $ 2 por certificado emitido.

A triste verdade é que o que você deseja é tecnicamente possível com o atributo x.509 Name Constraints allowedSubtrees , conforme definido na Seção 4.2.1.11 da RFC 2459 , mas você dificilmente encontrará uma CA disposta a fornecer esse certificado.

Alguns não farão isso devido ao pensamento de que vender esse certificado uma vez não é tão bom quanto vender muitos certificados por host muitas vezes.

Alguns não serão devidos a requisitos regulamentares de auto-incorreto entendimento ou requisitos de terceiros.

Há uma história muito triste sobre a cadeia de certificados de um grande provedor de telecomunicações que assinou CAs intermediárias para uma rede nacional de pesquisa que, por sua vez, emitiu certificados de CA para universidades. Embora isso ainda não pareça muito triste, a tristeza começa quando um homem corajoso do provedor de telecomunicações acima mencionado tentou obter o certificado e a cadeia de confiança incluídos no Mozilla Firefox - foram necessários 4 anos de discussões, revisões, mal-entendidos e ainda mais discussões antes finalmente foi incluído.

O que você pode comprar são principalmente alguns "Serviços Gerenciados", nos quais você usaria as interfaces da CA para criar novos certificados mais ou menos à vontade. Obviamente, isso normalmente custará muito dinheiro antecipadamente e você provavelmente será cobrado adicionalmente por cada certificado emitido.

O problema com o que você pretende é que não há como uma autoridade de certificação principal (Verisign, Thawte, etc.) restringir uma autoridade de certificação subordinada (o que você está procurando) para atribuir apenas certificados ou ser válidos para um domínio específico . Uma autoridade de certificação subordinada que se liga a uma raiz válida poderá criar certificados para toda a Internet. É por isso que você não pode obter um certificado de autoridade de certificação subordinada de ninguém além de uma autoridade de certificação raiz que você cria.

Você não pode fazer o que está procurando sem um certificado wildcart de um dos grandes fornecedores de certificados. Esses podem ser comprados, diferentemente dos certificados de CA subordinados.