サブドメイン用の他の証明書に署名できるドメイン用の証明書を購入できますか？

ポート443を介してWebブラウザーにSSL / TLS Webページを提供するWindowsコンピューターで実行する小さなプログラムを作成しました。技術に詳しくない人でもこのプログラムを簡単にインストールして実行できるようにしたいのです。プログラムで簡単に自己署名証明書または証明書署名要求を作成できるようにしましたが、CSRに署名して、サーバーを指すドメイン名に接続するのに苦労すると思います。このプロセスの技術的な難しさを最小限に抑えたい。

ドメイン名のサブドメインの証明書に署名できるSSL証明書を購入できますか？customer1.mydomain.com、customer2.mydomain.comなどのように、サーバーでDNSサブドメインを指定し、それらの証明書に署名してプロセス全体を自動化できます。または、これは非常に高価でしょうか？

そうでない場合は、*。mydomain.com証明書を使用して自分のサーバーですべてのWebアプリケーションをホストする以外に、SSL証明書とドメイン名をセットアップするために提供できる最も簡単なソリューションは何ですか？

StartComには、中間認証局プログラムがあります。リンクされたサイトによると、このプログラムは1,000以上の証明書を発行する人を対象としており、発行された証明書あたりの平均コストは約2ドルです。

悲しい真実は、RFC 2459セクション4.2.1.11で定義されているx.509 Name Constraint allowedSubtrees属性を使用して目的を達成できることですが、そのような証明書を提供するCAはほとんど見つかりません。

そのような証明書を1度販売することは、ホストごとの証明書を何度も販売するほど良くないと考えているため、そうしない人もいます。

自発的な脳死規制要件または外部関係者の要件に起因しないものもあります。

国立研究ネットワークの中間CAに署名し、大学にCA証明書を発行した大規模な電気通信プロバイダーの証明書チェーンについて非常に悲しい話があります。これはまだそれほど悲しいことではありませんが、前述の通信プロバイダーの勇敢な人が証明書と信頼チェーンをMozilla Firefoxに含めようとしたため、悲しみが始まります。最終的に含まれました。

購入できるもののほとんどは、CAのインターフェイスを使用して新しい証明書を作成する「マネージドサービス」です。もちろん、これには通常、事前に多額の費用がかかり、発行された証明書ごとに追加料金が発生する可能性があります。

意図することの問題は、プライマリCA（Verisign、Thawteなど）が下位CA（探しているもの）に特定のドメインにのみ証明書を割り当てるか、有効にすることを制限する方法がないことです。 。有効なルートにチェーンする下位CAは、インターネット全体の証明書を作成できます。これが、自分で作成したルートCA以外のユーザーから下位CA証明書を取得できない理由です。

大手の証明書ベンダーの1つからのワイルドカート証明書がないと、探していることはできません。下位CA証明書とは異なり、これらは購入できます。