Возможно ли иметь сертификат, подписанный двумя органами?

Question

Чтобы немного объяснить ситуацию:

Я создаю приложение для iOS, которое использует закрепление SSL. Я создал самозаверяющий центр сертификации, который выдает SSL-сертификаты моему веб-серверу, и сертификат CA связан с приложением для проверки. Я хотел бы использовать letsencrypt для создания SSL-сертификатов для веб-сервера, чтобы они неявно доверяли веб-браузерам, но их сертификаты не были бы подписаны моим ЦС, поэтому это не будет работать в приложении. (Стоит отметить, что сертификаты, выданные letsencrypt, очень недолговечны, поэтому их нельзя использовать напрямую для закрепления SSL).

Поэтому я хотел бы сгенерировать сертификат с помощью letsencrypt, а затем перекрестно подписать его с моим CA. Это возможно?

Answer 1

Сертификат может содержать только одну подпись. Но, так как вы все равно используете закрепление SSL, вам не нужно иметь свой собственный CA, потому что внутри вашего iOS-приложения вы просто проверяете отпечаток открытого ключа. Пока вы используете ту же пару ключей при обновлении сертификата с помощью letsencrypt, отпечаток открытого ключа полностью идентифицирует сертификат и после обновления.

Answer 2

Возможно ли иметь сертификат, подписанный двумя органами?

Нет. Есть место только для одного эмитента, одного идентификатора ключа доступа и т.д.

Также см. Сертификат с несколькими подписавшими? в списке рассылки PKIX. PKIX - это PKI Интернета, как его называет IETF. Другие PKI могут отличаться.

Если вы встретите другую PKI, которая позволяет это сделать, то она, скорее всего, не будет работать / взаимодействовать с браузерами и другими пользовательскими агентами, такими как curl, wget и т.д. Они просто не будут знать, как обращаться с сертификатом.