Как подписать Wildcard SSL сертификатом CSR?

Question

[Volentin]

Приветствую!

Ситуация такая:
1) Есть купленный у Комодо SSL Wildcard сертификат на домен "*.domain.ru";
2) Есть сервер с Web-консолью (адрес server.domain.ru), доступ к которому по HTTPS. На него нужно установить SSL-сертификат;
3) Этот сервер не позволяет импортировать имеющийся Wildcard сертификат "*.domain.ru" вместе с его ключом. Можно на сервере сформировать CSR и подписать его на УЦ;
4) Есть ли возможность подписать сгенерированный сервером CSR закрытым ключом Wildcard-сертификата?
5) Пытался сделать это с помощью openssl командой:

openssl x509 -req -in server.domain.ru.csr -CA wildcard.crt -CAkey wildcard.key -CAcreateserial -out server.domain.ru.crt -days 5000

CSR подписывался, но сертификат при этом получался самоподписанным (в иерархии сертификатов у него только он сам server.domain.ru)

Answer 1

[retaliation]

Добрый день!
У Вас есть 2 варианта:
1. Сгенерировать новый запрос на сервере и перевыпустить сертификат
2. Объединить имеющийся закрытый ключ и сертификат в pfx и попытаться импортировать
Команда: openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt

Answer 2

[Николай Корабельников]

Сгенерировать новый запрос на сервере и перевыпустить сертификат

Если генерировать новый запрос на сертификат, то пропадает смысл wildcard сертификата.

Лучше разобраться в причине, почему нельзя импортировать имеющийся wildcard сертификат на ваш сервер.

4) Есть ли возможность подписать сгенерированный сервером CSR закрытым ключом Wildcard-сертификата?

Вряд ли , ведь назначение сертифката скорее всего аутентификация SSL, а не подпись сертифкатов. Следовательно подписывать вашим ключом другие сертификаты нельзя. (ну технически можно, что вы и сделали, но цепочка доверия не построится).