Было бы неплохо распространить доверие немного, поэтому нам не нужно полагаться только на один корень в любом случае.
Возможно ли иметь один сертификат, подписанный несколькими CA?
Было бы неплохо распространить доверие немного, поэтому нам не нужно полагаться только на один корень в любом случае.
Возможно ли иметь один сертификат, подписанный несколькими CA?
Нет, формат сертификата X509 до версии 3 предназначен для того, чтобы содержать ровно одну подпись.
Да, это возможно. Здесь вы можете найти пример:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
Можно ли подписывать сертификат SSL несколькими органами сертификации?
Это зависит, но в основном НЕТ. Это зависит от используемого PKI. Существует два распространенных PKI, и ни один из них не позволяет этого.
Первый широко распространенный PKI находится под CA/Browser Baseline Requirements. CA/B BR документирует, что делают браузеры. Второй - IETF PKIX. Это то, что пользовательские агенты, такие как curl и wget, следуют. Ни один из них не допускает этого.
CA/B и IETF имеют несколько иные правила. Более подробное обсуждение см. В Как вы подписываете запрос подписи сертификата в своем сертификационном центре?
Теперь есть два других варианта, которые могут сработать для вас, но они потребуют некоторой работы.
Первая альтернативная опция - запустить свой собственный PKI, который позволяет это. Но браузеры и другие пользовательские агенты не будут знать, как обрабатывать сертификаты.
Второй альтернативный вариант - использовать расширение, которое включает в себя вторую сертификацию полномочий. Затем первичный орган, как открытый ЦС, будет подписывать запрос с расширением. Типичные пользовательские агенты будут использовать обычную общедоступную подпись ЦС, в то время как ваше пользовательское программное обеспечение будет использовать встроенную альтернативную подпись.
Расширения обычно используются для политики (например, передача информации о расширенной проверке), но она может работать здесь. Тем не менее, в IETF PKI отсутствует политика, поэтому вам может потребоваться творческий подход.
Также см. Возможно ли иметь сертификат, подписанный двумя полномочиями? на Super User.
Также см. Сертификат с несколькими подписчиками? в списке рассылки PKIX. PKIX - это интернет-PKI, вызванный IETF.