是否可以使用由CA签名的证书作为其他证书的CA签署新证书,并且仍然由根CA验证它们?
例:
# create new key openssl genrsa -des3 -out server.key 2048 openssl req -new -key server.key -out server.csr .... # send csr to ca for signing .... # now what if we make a new key and sign it with the received crt? openssl genrsa -des3 -out newkey.key 2048 openssl req -new -key newkey.key -out newkey.csr openssl x509 -req -in newkey.csr -CA server.crt -CAkey server.key -CAcreateserial -out newcert.crt -days 500
为什么不能这样做?我尝试将这个新证书用于服务,浏览器抱怨证书缺少CA链.基本上我想使用一个为域签名的证书,并使用域证书作为子域的CA为子域创建新证书.这个过程如何设计起作用?