Se eu comprar um certificado assinado para example.com , posso produzir sub-certificados para a.example.com e b.example.com ?
Esses sub-certificados possuem arquivos PEM cuja privacidade não pode ser assegurada.
Posso fazer isso, mantendo a privacidade do certificado raiz ao gerar um número ilimitado de sub-certificados descartáveis que ainda seriam reconhecidos como válidos pela autoridade de assinatura original?
Não, isso não funcionará.
Para assinar certificados, você precisa do seu próprio certificado de autoridade de certificação . Os certificados que você compra são assinados por uma autoridade de certificação, mas marcados especificamente como não como um certificado de autoridade de certificação.
Verifique as "Restrições Básicas do Certificado" em seu certificado e você verá que "Não é uma Autoridade de Certificação".
Se você precisa de mais de um domínio coberto por SSL, é necessário comprar um certificado SSL curinga. Isso abrange um nome de domínio e todos os subdomínios. Lembre-se de criar seu certificado SSL para *.example.com : caso contrário, você só assinará seu domínio normal.
Se você tem dois domínios diferentes, precisa de SSL para cada domínio.
Ou se você tiver apenas um subdomínio, às vezes dois certificados SSL normais são mais baratos que um curinga.