¿Puedo comprar un certificado para mi dominio que pueda firmar otros certificados para subdominios?

He escrito un pequeño programa para ejecutar en una computadora con Windows que sirve páginas web SSL / TLS a través del puerto 443 para visitar los navegadores web. Quiero que sea fácil para personas no técnicas instalar y ejecutar este programa. Les he facilitado la creación de un certificado autofirmado o una solicitud de firma de certificado en el programa, pero creo que van a tener dificultades para que la CSR se firme y se conecte a un nombre de dominio que apunta a su servidor. Quiero reducir la dificultad técnica de este proceso al mínimo.

¿Puedo comprar un certificado SSL que pueda firmar certificados para subdominios de mi nombre de dominio? Algo como customer1.mydomain.com, customer2.mydomain.com, etc. y luego podría apuntar mis subdominios DNS a sus servidores y firmar sus certificados para ellos y automatizar todo el proceso. O tal vez esto sería muy caro?

Si no, además de alojar todas sus aplicaciones web en mi propio servidor con un certificado * .midominio.com, ¿cuál es la solución más simple que puedo darles para configurar los certificados SSL y los nombres de dominio?

StartCom tiene un programa de Autoridad de certificación intermedia . Según el sitio vinculado, el programa está destinado a aquellos que emiten 1,000 o más certificados y el costo promedio es de alrededor de $ 2 por certificado emitido.

La triste verdad es que lo que busca es técnicamente posible con el atributo x.509 Name Restraint allowSubtrees como se define en RFC 2459 Sección 4.2.1.11 , pero difícilmente encontrará una CA dispuesta a proporcionarle dicho certificado.

Algunos no lo harán debido a la idea de que venderle ese certificado una vez no es tan bueno como venderle muchos certificados por host muchas veces.

Algunos no se deben a los requisitos reglamentarios propios de los cerebros o los requisitos de terceros.

Hay una historia muy muy triste sobre la cadena de certificados de un gran proveedor de telecomunicaciones que ha firmado AC intermedias para una red nacional de investigación que a su vez emitió certificados de AC a las universidades. Si bien esto aún no suena muy triste, la tristeza comienza cuando un hombre valiente del proveedor de telecomunicaciones antes mencionado trató de obtener el certificado y la cadena de confianza incluida en Mozilla Firefox : tomó 4 años de discusiones, revisiones, malentendidos e incluso más discusiones antes finalmente fue incluido.

Lo que puede comprar es principalmente un "Servicio administrado" en el que usaría las interfaces de la CA para crear nuevos certificados más o menos a voluntad. Por supuesto, esto generalmente costará mucho dinero de antemano y es probable que se le cobre adicionalmente por cada certificado emitido.

El problema con lo que pretende es que no hay forma de que una CA principal (Verisign, Thawte, etc.) restrinja a una CA subordinada (lo que está buscando) para asignar solo certificados o ser válidos para un dominio específico . Una CA subordinada que se encadena a una raíz válida podrá crear certificados para toda Internet. Esta es la razón por la cual no puede obtener un certificado de CA subordinada de nadie más que de una CA raíz que haya creado usted mismo.

No puede hacer lo que está buscando sin un certificado wildcart de uno de los grandes proveedores de certificados. Esos se pueden comprar, a diferencia de los certificados CA subordinados.