(Esta é uma nova resposta para uma pergunta antiga porque acredito que isso ajuda a entender que não há "mágica" por trás de certificados e CA)
Como uma extensão da resposta aprovada dada por @Steffen Ullrich
O certificado completo para identificar sites é apenas um negócio muito lucrativo. Os certificados X509 são definidos (entre outros) por RFC5280 e qualquer um pode ser uma CA raiz ou uma CA intermediária, tudo depende da confiança que você tem em relação a essa entidade.
Exemplo: se você estiver em um domínio do Active Directory, seu controlador de domínio principal será uma autoridade de certificação raiz confiável por padrão. Enquanto isso, não há absolutamente nenhum outro terceiro envolvido.
Na Internet ampla, a questão é identificar "em quem você pode confiar", porque é muito maior do que apenas uma empresa. E, portanto, os fornecedores de navegadores fornecem uma lista arbitrária personalizada de CA raiz na qual ele confiará sem solicitar seu consentimento.
Ie: Se você tem um relacionamento muito bom com a fundação Mozilla, então sua própria AC raiz auto-assinada arbitrária pode ser adicionada a essa lista na próxima versão do seu navegador Firefox ... Só porque eles decidiram!
Além disso, não há RFC que defina o comportamento e as regras sobre como os navegadores devem se comportar em relação aos certificados. Este é um consenso implícito de que porque o "CN" do certificado é igual ao nome de domínio, que é suposto ser correspondência.
Como isso não era suficiente em algum momento, todos os fornecedores de navegadores envelheceram implicitamente que um certificado de certificado com caractere curinga do formulário *.domain.com
corresponderia a qualquer subdomínio. Mas corresponde apenas a um nível: não sub.sub.domain.com
porque é isso? Porque eles acabaram de decidir.
Agora, sobre sua pergunta original, o que impediria que seu certificado de domínio principal tivesse permissão para criar sub-certificados para seus próprios subdomínios, um processo fácil para o navegador verificar, apenas obtendo a cadeia de certificados.
A resposta é: nada
(exceto que tecnicamente você deve ter um "flag" no seu próprio certificado de domínio para fazer isso)
Os fornecedores do broswers, se acharem isso conveniente o suficiente, podem decidir apoiá-lo.
No entanto, de volta à minha primeira declaração, isso é um grande negócio de dinheiro. Portanto, essas poucas CAs raiz que têm contratos com os fornecedores de navegadores estão gastando grandes quantias de dinheiro para aparecer nessa lista. E hoje, eles recuperam o dinheiro porque você tem que pagar por cada certificado de subdomínio individual ou obter um curinga que é muito mais caro. Se eles permitissem que você criasse seus próprios certificados de subdomínio, isso reduziria tremendamente seu lucro. Então é por isso que a partir de hoje, você não pode fazer isso.
Bem, você ainda pode, porque seria um certificado x509 válido, mas nenhum navegador reconheceria isso.