将信任分散一点会很好,因此我们在任何情况下都不必仅依赖一个根。
是否可以拥有一个由多个 CA 签署的证书?
问问题
13886 次
4 回答
21
不,最高版本 3 的X509 证书格式旨在仅包含一个签名。
于 2011-06-29T00:55:32.037 回答
7
是的,有可能。你可以在这里找到一个例子:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
于 2013-07-02T08:46:11.730 回答
5
SSL 证书可以由多个证书颁发机构签署吗?
这取决于,但大多数情况下没有。这取决于所使用的 PKI。有两种广泛使用的 PKI,但它们都不允许。
第一个广泛使用的 PKI 在CA/Browser Baseline Requirements之下。CA/B BR 记录了浏览器在做什么。第二个是 IETF 的 PKIX。这是 curl 和 wget 等用户代理所遵循的。他们都不允许。
CA/B 和 IETF 的规则略有不同。有关更深入的讨论,请参阅如何使用证书颁发机构签署证书签名请求?
现在,还有两个其他选项可能对您有用,但它们需要一些工作。
第一个替代选项是运行您自己的允许它的 PKI。但是浏览器和其他用户代理不知道如何处理证书。
第二个替代选项是使用包含第二个机构认证的扩展。然后,主要权威机构,如公共 CA,将签署带有扩展名的请求。典型的用户代理将使用惯用的公共 CA 签名,而您的自定义软件将使用嵌入的备用签名。
扩展通常用于策略(例如传达“扩展验证”信息),但它可能在这里工作。但是,IETF 的 PKI 缺乏政策,因此您可能需要发挥创造力。
另请参阅是否可以拥有由 2 个权威机构签署的证书?在超级用户上。
另请参阅具有多个签名者的证书?在 PKIX 邮件列表中。PKIX 是 IETF 所称的 Internet 的 PKI。
于 2016-02-07T19:32:22.683 回答
0
是的,一个证书可以由多个 CA 签署。这个术语是交叉签名。请参阅https://letsencrypt.org/certificates/以了解其工作原理。请注意,在页面顶部的图表中,Let's Encrypt 的几个中间证书由两个根证书(ISRG Root X1 和 DST Root CA X3)签名。此外,请参阅https://security.stackexchange.com/questions/14043/what-is-the-use-of-cross-signing-certificates-in-x-509了解更多信息。
于 2021-03-25T19:52:37.647 回答