SSL证书可以由多个证书颁发机构签名吗?
Ben*_*and 24 certificate-authority ssl-certificate
将信任分散一点是很好的,所以我们不必在任何实例中只依赖一个根.
是否可以拥有一个由多个CA签名的证书?
SSL 证书可以由多个证书颁发机构签名吗?
这取决于情况,但大多数情况下不会。这取决于所使用的 PKI。有两种广泛使用的 PKI,但它们都不允许这样做。
第一个广泛使用的 PKI 是在CA/浏览器基线要求下。CA/B BR 记录了浏览器正在执行的操作。第二个是IETF 的PKIX。这是像curl 和wget 这样的用户代理所遵循的。他们都不允许。
CA/B 和 IETF 的规则略有不同。有关更深入的讨论,请参阅如何与证书颁发机构签署证书签名请求?
现在,还有其他两个选项可能适合您,但需要一些工作。
第一个替代选项是运行您自己的允许这样做的 PKI。但浏览器和其他用户代理不知道如何处理证书。
第二个替代选项是使用包含第二个权威机构认证的扩展。然后,主要权威机构(例如公共 CA)将签署带有扩展名的请求。典型的用户代理将使用惯用的公共 CA 签名,而您的自定义软件将使用嵌入的备用签名。
扩展通常用于策略(例如传达“扩展验证”信息),但它可能在这里起作用。然而,IETF 的 PKI 缺乏政策,因此您可能需要发挥创意。
另请参阅是否可以拥有由 2 个权威机构签署的证书?关于超级用户。
另请参阅具有多个签名者的证书?在 PKIX 邮件列表上。PKIX 是 IETF 提出的互联网 PKI。
对的,这是可能的。你可以在这里找到一个例子:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
- 我不相信那篇文章。我认为作者在表示“同一实体的两个证书,由两个不同的链颁发”时使用了“交叉签名”。他的屏幕截图还显示了略有不同的证书名称(LYNC-PROD-08 与 LYNC-PROD-08.fngn.com)。 (3认同)
| 归档时间: |
|
| 查看次数: |
9515 次 |
| 最近记录: |