Digamos que eu tenha um certificado válido para example.com (e apoiado por um fornecedor conhecido de SSL). Eu quero ser capaz de ter uma versão de teste do domínio, test.example.com, que também é protegido por um certificado SSL, mas eu gostaria de fazê-lo sem pagar por um certificado comercial (eu percebo que há "livre" "certificados, mas quase todos eles vêm com limitações de tempo, o que não funciona para mim).
É aparentemente possível criar um certificado encadeado fora desse certificado. O que eu estou querendo saber é se os navegadores reconhecerão esse certificado encadeado como válido.
Observe que o certificado de example.com é um certificado SAN e abrange outros domínios, como docs.example.com, example.org, etc.
Idealmente, gostaria que o certificado encadeado fosse também um certificado SAN e fornecesse apenas análogos de teste de cada domínio: test.example.com, test.docs.example.com, test.example .org, etc.
Estou ciente de que precisarei de um endereço IP separado para o certificado de teste.
Isso é no Apache e no CentOS, a propósito.
What I'm wondering is whether browsers will recognize that chained certificate as valid.
Nenhum deles. Dentro do seu certificado, tem a entrada em Restrições básicas do certificado :
Not Critical
Is not a Certification Authority
Quando o navegador perceber isso como um certificado intermediário, ele rejeitará aqueles com os quais você o "assina".
Você não pode emitir mais certificados do seu certificado example.com . Verifique seu campo Restrições Básicas x509. Cada certificado que uma CA confiável emite para um cliente sempre deve ter a restrição CA:FALSE (embora recentemente, uma CA importante admitida a emitir um certificado para um cliente com esta restrição removida ).
Se você precisar testar com certificados criados, precisará criar sua própria autoridade de certificação e confiar nos navegadores clientes.
Se você já comprou seu certificado, então a sorte é difícil. Caso contrário, procure comprar um caractere curinga ou colocar o atributo Nome alternativo do assunto no CSR. A maioria das CAs assina sem cobrar extra.