要成为中间 CA，您必须找到愿意与您打交道的 CA。但是，不可能限制中间 CA 可以处理的域，因此任何中间 CA 都与签署它的 CA 一样受信任，并且可以颁发它想要的任何证书。因此，您可能找不到任何可以向您出售您想要的中间 CA 的 CA。

有关类似问题，另请参阅https://serverfault.com/questions/605643/getting-an-intermediate-ssl-certificate 。

这在很大程度上取决于您为哪个“政府组织”工作。这里的大多数答案都假设是商业 SSL。一些政府组织允许这样做，但大多数需要 .gov 或 .mil 域。所以那些是行不通的。每个政府组织都有自己的规定。通常，您的上级组织需要授权您拥有一个中间 CA，并且可能是颁发给您的那个。或许可以询问颁发您的普通 SSL 证书的人。他们可能不知道也没有任何有用的答案，但他们可能会指导你知道谁知道。这可能涉及几个人并获得相对较高级别的人的批准（他们可能会或可能不会真正理解您的要求）。

您需要对您的预期用例以及您将使用它的用途有一个很好的解释。您可能需要为您的组织制定官方政策，以限制可以使用您的中间 CA 执行的操作，以使他们更放心。如果它们受某些法规的约束，您可能需要查找这些法规并确定可用的例外或豁免。一旦您确定哪一项可能适用于您，您可能需要向他们解释。如果他们不明白，请保持耐心和礼貌，并继续询问。您可以通过让对他们有权威的人进行授权来加快速度（这可以减轻他们的责任，并且可能会让他们不太在意）。如果你“越过他们的头脑”，你就会冒着惹恼他们的风险。所以，

很多时候，这是一场非常漫长的战斗，而且是一项不太可能的任务（并非不可能，但可能非常不可能，具体取决于您的组织）。在国防部（或军事）组织结构中尤其如此。

可能有更好的途径来实现同样的目标。您可以请求通配符证书，然后将分支设为子域。但是，有时获得通配符证书同样不可能。无论您从谁那里获得正常的 SSL 证书，我都会从谁那里开始，然后逐步发展。