0

2 つの CA によって署名された csr を取得し、両方の証明書を配信することが実現可能かどうかを知っている人はいますか?

質問の理由: 複数のサービス (https、メール、imap、git、xmpp...) を実行しているサーバーと、クライアント証明書 (xmpp、メール暗号化など) にも使用される CA を実行しています。これは、ユーザーが CA 証明書をインポートする必要があることを意味します。これは、パワー ユーザーには問題ありません。

一部のアプリケーション (メールと https) は、通常の (非電力?、一般?) ユーザーがアクセスできる必要があるため、そのために、すべての一般的なブラウザーに既にインストールされている無料の ssl 証明書を使用すると便利です (startsl だと思います)。 )。

私の最初の試みは、startssl などの公式 CA によって署名された CA 証明書を取得することですが、これが無料で使用できないことは理解できます。

そこで、一般的に使用されるサービス用の csr を作成し、公式の CA と自分の CA によって署名してもらい、両方の証明書を "フォールバック" として提供することを考えています。

またはよりスマートな方法はありますか?

4

1 に答える 1

2

複数の CA によって署名された証明書を持つことはできません (X.509 形式の発行者は 1 つだけです)。同じ CSR を 2 つの CA に送信できますが、これにより 2 つの異なる証明書が生成されます (それが目的の場合は、通常、異なるキー マテリアルを使用することをお勧めします。つまり、とにかく異なる CSR を使用します)。

クライアントが Server Name Indication (SNI) をサポートしている場合、同じサービスで 2 つの異なる証明書をサーバーに提供できる可能性がありますが、サービスにも異なる名前が必要になります (そうしないと、要求された名前を区別することが不可能になります)。

サーバー上の同じサービスで2つの異なるCAまたは2つの証明書を使用しようとすることで、問題が複雑になりすぎていることは確かです.

いずれにせよ、「パワー ユーザー」も、トラスト アンカーに主要な商用 CA を確実に持っています。この場合、独自の CA によって署名された証明書を提供しても、実際には何の利点もありません。それらの主な違いが、独自の CA によって発行されたクライアント証明書が付属しているという事実である場合、サーバー上で独自の CA (したがってクライアント証明書) を信頼することを妨げるものは何もありません。商用 CA。サーバーが使用するトラスト アンカーは、クライアントが使用するトラスト アンカーと必ずしも関係があるとは限りません。

于 2013-09-29T17:43:54.283 に答える