问我需要什么样的SSL证书，从哪里得到？

EN

鉴于您对我上述评论的答复，我同意Ladadadada的意见。创建CA很容易，但要让其他人信任它是很困难的:要么您需要将CA根证书分发给他们中的每个人(这是您无法做到的，因为您已经确认他们是随机的最终用户)，或者您需要让浏览器制造商将其包含在他们标准的可信包中(祝您好运)。

因为你不想让每个子域所有者自己去做，我看到你唯一剩下的选择就是让每个子域所有者生成一个CSR，然后你充当一个中央结算所，将每个CSR提交给一个认证机构。

许多大型SSL证书行都有一项政策，您可以通过一次冗长的过程来确定自己对(例如) example.com具有权威性，但是一旦完成了这一任务，您为example.com中的任何内容创建的应用程序显然会很快通过。

我不使用Verisign (或者赛门铁克，就像现在一样)，即使我这么做了也不会在这里背书；我链接到它们只是为了让你看到这样一种安排的一个例子：赛门铁克的门户网站，使自己成为一个领域的权威 (“关键特性”包括“在预先批准的域上即时颁发证书”)。如果您决定走这条路，您应该四处逛逛，并选择适合您的SSL证书颁发机构。

您可以使用这两种方法，这两种方法都不涉及您成为CA。(我认为成为CA也是一个可行的选择，它只是无助于解决你的问题，它带来了额外的费用和风险。)

1. 获取通配符证书，并将其和相关的私钥分发给所有承载站点所有子域的人员。
2. 让每个承载子域的人获得他们自己的证书，只为他们的子域。这些东西可以很便宜，甚至是免费的。

选项1带有将私钥分发给许多人的明显风险。如果它外泄，您将希望您的CA发布一个通常要花费金钱的撤销。选项2意味着每次创建子域时都要经历获得新证书的过程。这不会很快，但应该是几个小时左右。