У нас ПО для закрытой сети (оффлайн). Еще и санкционное. Но для работы нужен HTTPS, хром требует, ну и вообще.

Как я понимаю - надо выпустить самоподписной сертификат (еще и с san). Это у меня получилось, но только на одно доменное имя.

А эти доменные имена у нас пляшут. Выпускать сертификаты то не проблема, но их же надо добавлять на локальные компы. Головняк.

А можно сделать один самопальный самоподписной сертификат, а-ля корневой и раздать его всем? А к нему уже выпускать дополнительные и с ними хостить сайты. Чтобы клиенты получив по HTTPS подсертификат сравнили его с установленным корневым и было ок.

Если не ошибаюсь у клиентов тоже должен быть этот CA в браузере, Без этого также будет ругаться на самоподписанный

Это решается через групповые политики

Линукс, андроид, макось. BOYD иногда

Ну так я об этом и говорю.
Можно ли сделать основной сертификат и к нему выпускать дополнительные? А основной раздать ОДИН раз.

Ну так я об этом и говорю.
Можно ли сделать основной сертификат и к нему выпускать дополнительные? А основной раздать ОДИН раз.

Да что рсинкать то? )))
Раздать один корневой сертификат можно?

Можно. Но не все браузеры соглашаются его признавать безоговорочно.

Линукс, андроид, макось. BOYD иногда

Ты должен его импортировать

обычно корневой приезжает когда в домен входишь или типа того

Виндофобия? ;-)