2
Eigene CA in Certificate Chain?
Hallo Forum
Ich bin noch nicht so bewandt mit Cert. und CAs, deshalb verzeiht meine Basic-Fragen.
Also: ich habe mein eigene Domain (nennen wir die hier jetzt mal mydomain.ch), welche ich auch komplett selbst betreibe (DNS, Web, etc.), aber nicht für kommerzielle Zwecke.
Ich habe mehrere Subdomains (mail.mydomain.ch, svn.mydomain.ch, ...), welche per SSL verschlüsselt werden.
Bis jetzt sind dort nur self-signed-Zertifikate drauf, was natürlich jedesmal eine Warnung generiert.
Nun habe ich mir überlegt, ob ich mir nicht EIN EINZIGES Zertifikat von z.B. StarSSL (https://www.startssl.com/?app=1) für mydomain.ch ausstellen lassen kann, und dann für die Subdomains (z.B. mail.mydomain.ch) selbst die Zertifikate ausstellen kann, so dass ich eine vollständige und gültige Cerficate Chain habe.
Die Chain könnte dann z.B. so aussehen:
- StartSSL (Root CA)
-- mydomain.ch (eigene CA, trusted durch StartSSL)
--- mail.mydomain.ch (trusted durch eigene CA)
Was spricht dagegen?
Oder mach ich da ein kapitaler Denkfehler?
Noch um das klarzustellen:
Ich will KEINE eigene Root CA, wo ich nachher auf den Clients das Root CA eintragen müsste!
Gruss
lousek
Ich bin noch nicht so bewandt mit Cert. und CAs, deshalb verzeiht meine Basic-Fragen.
Also: ich habe mein eigene Domain (nennen wir die hier jetzt mal mydomain.ch), welche ich auch komplett selbst betreibe (DNS, Web, etc.), aber nicht für kommerzielle Zwecke.
Ich habe mehrere Subdomains (mail.mydomain.ch, svn.mydomain.ch, ...), welche per SSL verschlüsselt werden.
Bis jetzt sind dort nur self-signed-Zertifikate drauf, was natürlich jedesmal eine Warnung generiert.
Nun habe ich mir überlegt, ob ich mir nicht EIN EINZIGES Zertifikat von z.B. StarSSL (https://www.startssl.com/?app=1) für mydomain.ch ausstellen lassen kann, und dann für die Subdomains (z.B. mail.mydomain.ch) selbst die Zertifikate ausstellen kann, so dass ich eine vollständige und gültige Cerficate Chain habe.
Die Chain könnte dann z.B. so aussehen:
- StartSSL (Root CA)
-- mydomain.ch (eigene CA, trusted durch StartSSL)
--- mail.mydomain.ch (trusted durch eigene CA)
Was spricht dagegen?
Oder mach ich da ein kapitaler Denkfehler?
Noch um das klarzustellen:
Ich will KEINE eigene Root CA, wo ich nachher auf den Clients das Root CA eintragen müsste!
Gruss
lousek
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 201638
Url: https://administrator.de/contentid/201638
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
2 Kommentare
Neuester Kommentar
Hi
Das einfachste ist ein Wildcard Zertifikat. Das gilt für alles was innerhalb deiner Domain ist *.domain.ch).
Gibts bei fast jedem Zertifikatsanbieter.
LG
Das einfachste ist ein Wildcard Zertifikat. Das gilt für alles was innerhalb deiner Domain ist *.domain.ch).
Gibts bei fast jedem Zertifikatsanbieter.
LG
Hallo,
nein, das geht nicht.
Bei Zertifikaten, die du von einer CA bekommst sind die möglichen Verwendungen eingeschränkt, das Signieren von eigenen Zertifikaten ist damit nicht möglich.
Wenn es dir nur um Subdomains geht, funktioniert ein Wildcard-Zeritifkat für *.yourdomain.ch, wie von catachan beschrieben - leider gibt's die nicht umsonst.
Gruß
Filipp
nein, das geht nicht.
Bei Zertifikaten, die du von einer CA bekommst sind die möglichen Verwendungen eingeschränkt, das Signieren von eigenen Zertifikaten ist damit nicht möglich.
Wenn es dir nur um Subdomains geht, funktioniert ein Wildcard-Zeritifkat für *.yourdomain.ch, wie von catachan beschrieben - leider gibt's die nicht umsonst.
Gruß
Filipp
