ACME – 使用SAN获取子域的证书
我对即将到来的自动证书pipe理环境(ACME)感兴趣。 我下载了演示,并试用了我的主域名。 我仍然有一个问题:使用常规authentication过程,我能够获得与SAN的证书,所以我可以将其设置在我的服务器(Node.js),并为所有子域(这是虚拟主机)提供服务。 问题是, 目前的草案说明如下:
关键授权
可以重复该过程以将多个标识符关联到密钥对(例如,请求具有多个标识符的证书)
这是否意味着即使它们是同一主域(“主标识符”)的一部分,我也需要为每个子域颁发由相同密钥生成的新证书?
谢谢你的答案。
我对此有所了解
请求具有多个标识符的证书
是你可以将多个域关联到一个证书。 这些域名很可能会在证书的主题替代名称扩展中进行说明。
每个域将由CA进行validation,只有经过validation的域将被放置在已颁发的证书中。
说明书中没有写清楚,但具体阅读5.6节后对我有意义
CSR根据客户要求发放的证书内容编码。 CSR必须包含至less一个请求subjectAltName扩展的extensionRequest属性[RFC2985],其中包含所请求的标识符。
CSR提供的价值只是一个要求,并不能保证。 服务器或CA可能会在颁发之前更改证书中的任何字段。 例如,CA可以移除未授权于“授权”字段中指示的密钥的标识符。