问是否可以使用一个商业SSL证书来颁发最终用户证书？

EN

您不使用SSL证书颁发证书--您使用中间CA证书颁发证书。这是另一回事；也就是说，与俗称的“SSL证书”相反，中间CA证书是通过包含一个基本约束扩展，并将cA标志设置为TRUE来授予CA权限的。验证证书的软件会检查该标志的存在。从技术上讲，您可以使用SSL私钥签署证书，但是没有人会接受这些证书是有效的。

只有在一些相当严格的条件下，Verisign或任何其他商业CA才会卖给您一个中级CA证书:这将花费您很多钱，并且您必须证明您可以被委托颁发证书。实际上，一旦您拥有了中级CA证书，技术上没有什么可以阻止您为google.com或microsoft.com伪造假证书，这些证书将被全世界的所有Web浏览器默默地接受。因此，维利会想要确保你有程序来避免这样的诡计，特别是对私钥存储有很强的物理安全性，对所有的管理操作都有双重控制，保险，严格的撤销程序等等。

虽然您有正确的逻辑(实际上，这只是一个拥有一些“证书颁发软件”的问题，它可以像一些OpenSSL脚本一样简单)，但是您低估了成本。如果您想操作您自己的CA (这是您实际上正在谈论的)，那么您需要“正确地”这样做，即使用与所需的安全和质量保证水平相称的方法。你需要聘请一名PKI专家。这一成本将远远超过每年购买50份最终实体证书的成本.

是的，这将是可能的，如果任何CA会卖给你这样一个中间CA。但不，他们(希望)不会这么做。

问题是，当前的SSL PKI不支持对中间CA的限制。这意味着，一旦您拥有了这样的中间CA，您就可以颁发任何您想要的证书。这将是您自己的基础设施的证书，也可以是google.com的证书，甚至可以在您自己的CA下面创建另一个中间CA，该CA具有相同的权限。

因为这些问题，CA正式不卖给您这样的中间CA。