信頼を少し分散させるとよいでしょう。そのため、どのインスタンスでも 1 つのルートだけに依存する必要はありません。
複数の CA によって署名された単一の証明書を持つことは可能ですか?
13886 次
4 に答える
21
いいえ、バージョン3までのX509証明書形式は、1つの署名のみを含むように設計されています。
于 2011-06-29T00:55:32.037 に答える
7
はい、可能です。ここで例を見つけることができます:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
于 2013-07-02T08:46:11.730 に答える
5
SSL 証明書は複数の認証局によって署名できますか?
場合によりますが、ほとんどNOです。使用されている PKI によって異なります。広く使用されている 2 つの PKI が使用されていますが、どちらも許可していません。
最初に普及した PKI は、CA/Browser Baseline Requirementsの下にあります。CA/B BR は、ブラウザーが何をしているかを文書化します。2 つ目は IETF の PKIX です。これは、curl や wget などのユーザー エージェントが従うものです。どちらもそれを許可しません。
CA/B と IETF のルールは少し異なります。詳細については、認証局で証明書署名要求に署名する方法を参照してください。
さて、あなたのために働くことができる他の2つのオプションがありますが、それらにはいくつかの作業が必要です.
最初の代替オプションは、それを許可する独自の PKI を実行することです。しかし、ブラウザーやその他のユーザー エージェントは、証明書の処理方法を知りません。
2 番目の代替オプションは、2 番目の機関の認証を含む拡張機能を使用することです。次に、パブリック CA などの主要な機関が、拡張子を付けてリクエストに署名します。典型的なユーザー エージェントは通常のパブリック CA 署名を使用しますが、カスタム ソフトウェアは埋め込まれた代替署名を使用します。
拡張機能は通常、ポリシー (「拡張検証」情報を伝達するなど) に使用されますが、ここでは機能する場合があります。ただし、IETF の PKI にはポリシーがないため、工夫が必要になる場合があります。
2 つの機関によって署名された証明書を持つことは可能ですか?も参照してください。スーパーユーザーで。
複数の署名者による証明書も参照してください。PKIXメーリングリストで。PKIX は、IETF によって提唱されたインターネットの PKI です。
于 2016-02-07T19:32:22.683 に答える
0
はい、証明書は複数の CA によって署名される場合があります。これに対する用語はクロス署名です。これがどのように機能するかについての適切な説明については、https://letsencrypt.org/certificates/を参照してください。ページ上部の図では、Let's Encrypt の中間証明書のいくつかが 2 つのルート証明書 (ISRG ルート X1 と DST ルート CA X3) によって署名されていることに注意してください。また、詳細については、https://security.stackexchange.com/questions/14043/what-is-the-use-of-cross-signing-certificates-in-x-509を参照してください。
于 2021-03-25T19:52:37.647 に答える