Можно ли иметь сертификат OpenSSL, подписанный несколькими ЦС?
Справочная информация: У нас есть центр сертификации, который выдает сертификаты в основном для межмашинных коммуникаций. Теперь нам нужно сделать некоторые сервисы доступными для пользователей, и мы хотели бы использовать тот же CA, но, конечно, большинству поставщиков это не доверяет. Было бы хорошо, если бы мы могли получить эти сертификаты, подписанные другим ЦС, чтобы повысить доверие.
Было бы хорошо, если бы мы могли получить эти сертификаты, подписанные другим ЦС, чтобы повысить доверие.
Даже если бы это было возможно, это не увеличило бы уровень доверия, потому что ненадежная сторона также подписала сертификат, что означает, что сертификат вообще не должен быть доверенным. Я предлагаю вам просто подписать все от нового поставщика CA, которому доверяют основные платформы.
Нет, сертификат X.509 (тип, используемый OpenSSL) не может иметь более одной подписи. Однако вы можете выдать несколько сертификатов, которые будут выполнять одну и ту же работу.
При условии, что вы сохраняете ключ и тему одинаковыми, вы можете создать несколько сертификатов CA, каждый из которых будет соответствовать действительному сертификату эмитента для сертификатов, которые (эти?) CA (s) проблема. Эти сертификаты CA могут быть самозаверяющими или выдаваться другим CA как так называемый перекрестный сертификат.
Остальные ответчики правы: любой коммерческий ЦС захочет очень тщательно изучить ваши политики и процедуры, прежде чем подписывать ваш ЦС. Тем не менее, это определенно возможно с технической точки зрения.
Если пользователи, о которых вы говорите, используют только те устройства, которые вы контролируете (то есть, они являются внутренними пользователями), тогда я предлагаю установить сертификат корневого CA на этих устройствах. Это то, что делают многие крупные компании (и я на самом деле делаю это в своей сети!) и позволяет вам выдавать сертификаты только для внутреннего использования в соответствии с вашими политиками.
Если, с другой стороны, пользователи являются внешними по отношению к вашей организации (или даже сотрудникам, работающим, например, дома), то, вероятно, лучше всего иметь сертификаты, выданные доверенным коммерческим центром сертификации. Если вам понадобится много этих сертификатов (5+ в год), большинство коммерческих ЦС имеют программы, которые облегчают административную нагрузку и часто снижают стоимость; если вам понадобится действительно большое количество (я бы даже не стал искать, если оно не превышает 100 в год), вы можете рассмотреть возможность приближения к ЦС для настройки собственного подчиненного ЦС (но, как и выше, они, вероятно, захотят вас настроить новый ЦС в соответствии с их политикой, а не перекрестно подписывать существующий).
Единственный способ повысить доверие - подписать ваш ЦС доверенным ЦС. Таким образом, ваш ЦС будет действовать в качестве промежуточного ЦС, чтобы клиенты могли следовать цепочке сертификатов обратно до одного из предварительно доверенных ЦС, но все выданные вами сертификаты все еще происходят из одного общего корня.
По крайней мере, это теория, но, насколько я понимаю, ни один CA не захочет этого делать, если вы не передадите им свою PKI. В CACert Wiki есть некоторые подробности о проблеме.
Поэтому кажется, что вы застряли на том, чтобы заставить ваших клиентов установить новый доверенный ЦС или получить сертификаты, обращенные к клиенту, выданные не вашим собственным ЦС, а некоторыми крупными предварительно доверенными сертификатами, как предложил Рэмхаунд.
