ACME - 使用 SAN 获取子域的证书

Question

我对即将推出的Automated Certificate Management Environment (ACME) 很感兴趣。我下载了演示并使用我的主域进行了尝试。 不过我还有一个问题： 使用常规的认证过程，我可以获得带有 SAN 的证书，因此我可以在我的服务器 (Node.js) 上设置它并为所有子域（它们是虚拟主机）提供它。问题在于current draft 声明如下：

密钥授权
可以重复此过程以将多个标识符与密钥对相关联（例如，请求具有多个标识符的证书）

这是否意味着我需要为每个单独的子域颁发由相同密钥生成的新证书，即使它们属于同一个主域（“主标识符”）？

感谢您的回答。

Answer 1

我对此的理解

请求具有多个标识符的证书

是您将能够将多个域关联到一个证书。这些域很可能会在证书的主题备用名称扩展中说明。

每个域都将由 CA 验证，并且只有经过验证的域才会放入颁发的证书中。

规范中没有写清楚，但在阅读第 5.6 节后对我来说确实有意义，特别是

CSR 对客户端关于内容的请求进行编码 要发出的证明书。 CSR 必须包含至少一个 extensionRequest 属性 [RFC2985] 请求一个 subjectAltName 扩展名，包含请求的标识符。

CSR 中提供的值只是一个请求，而不是 保证。服务器或 CA 可以更改证书中的任何字段 发行前。例如，CA 可能会删除以下标识符 未授权“授权”字段中指示的密钥。