¿Es posible restringir el uso de un certificado raíz a un dominio?

Mi cliente utiliza un certificado autofirmado para que una aplicación funcione. Para poder trabajar, tengo que instalar el certificado raíz que usaron para firmar el certificado.

¿Es posible configurar un certificado raíz para que solo se valide hacia un dominio?

Mejor respuesta
Como una regla de oro:

No, implícito en confiar en el certificado de CA del cliente es la confianza en cada certificado firmado por esa CA.

No conozco ninguna aplicación / biblioteca que tenga una opción fácil que le permita como usuario final seleccionar que confiará en sus clientes o en cualquier otro certificado de CA solo para ciertos (sub) dominios, es decir, solo para *. example.com y * .example.org y nada más.

Mozilla tiene una inquietud similar sobre las CA patrocinadas por el gobierno de confianza actual como open attention point y, por ejemplo, Chrome tiene controles adicionales incorporados para acceder a los sitios de Google, que fue la forma en que el certificado * .google.com y el compromiso de Diginotar CA se hicieron públicos.

Pero incluso si no confía en la CA, aún puede importar / confiar en un certificado de servidor específico firmado por esa CA, lo que evitará las advertencias de SSL para los nombres de host en ese certificado. Eso debería hacer que su aplicación funcione sin errores ni quejas.

Excepciones:

Una opción muy infrautilizada del estándar X.509v3 PKI es la extensión Name Constraints, que permite que un certificado de CA contenga listas blancas y negras de patrones de nombre de dominio para los que está autorizado a emitir certificados.

Puede que tenga suerte y su cliente se haya restringido a sí mismo cuando configuró su infraestructura PKI e incluyó esa restricción de nombre en su certificado de CA. Luego puede importar su certificado de CA directamente y saber que solo puede validar un rango limitado de nombres de dominio.

Por favor indique la dirección original:¿Es posible restringir el uso de un certificado raíz a un dominio? - Código de registro