여러 CA에서 서명 한 인증서

여러 CA에서 서명 한 OpenSSL 인증서를 가질 수 있습니까?

배경 : 당사는 주로 기계 간 통신을 위해 인증서를 발급하는 CA를 보유하고 있습니다. 이제 일부 서비스도 사용자가 액세스 할 수 있어야하고 동일한 CA를 사용하려고하지만 대부분의 공급 업체가 신뢰하지는 않습니다. 신뢰를 높이기 위해 다른 CA에서 서명 한 인증서를 얻을 수 있다면 좋을 것입니다.

아니요. X.509 인증서 (OpenSSL에 사용되는 유형)에 둘 이상의 서명이있을 수 없습니다. 그러나 동일한 작업을 수행 할 여러 인증서를 발급 할 수 있습니다.

키와 제목을 동일하게 유지하면 각각 발급하는 인증서에 대해 유효한 발급자 인증서로 만족되는 여러 CA 인증서를 만들 수 있습니다. 이러한 CA 인증서 자체는 자체 서명되거나 다른 CA에서 교차 서명 된 인증서로 발급 할 수 있습니다.

다른 응답자는 정확합니다. 모든 상용 CA는 CA에 서명하기 전에 정책과 절차를 철저히 조사하기를 원할 것입니다. 그것은 기술적 인 관점에서 분명히 가능합니다.

이야기하는 사용자가 제어하는 ​​장치 만 사용하는 경우 (즉, 내부 사용자 인 경우) 해당 장치에 루트 CA 인증서를 설치하는 것이 좋습니다. 이것은 많은 대기업이하는 일이며 (실제로 내 네트워크에서하는 것입니다!) 자신의 정책에 따라 원하는만큼 내부 용 인증서를 발급 할 수 있습니다.

반면에 사용자가 조직 외부 (예를 들어 집에서 일하는 직원) 외부에있는 경우 신뢰할 수있는 상업용 CA에서 인증서를 발급받는 것이 가장 좋습니다. 이러한 인증서를 많이 필요로하는 경우 (연 5 회 이상) 대부분의 상업용 CA에는 관리 부담을 줄이고 비용을 절감하는 프로그램이 있습니다. 정말로 많은 양이 필요하다면 (연간 100 이상이 아닌 한 귀찮게하지 않을 것입니다), CA에 접근하여 맞춤형 하위 CA를 설정하는 것을 고려할 수 있습니다 (그러나 위와 같이 그들은 원할 것입니다) 기존 CA에 서명하지 않고 정책에 따라 새 CA 를 설정합니다 .

신뢰를 높이기 위해 다른 CA에서 서명 한 인증서를 얻을 수 있다면 좋을 것입니다.

이것이 가능하더라도 신뢰할 수없는 당사자도 인증서에 서명했기 때문에 신뢰 수준을 높이 지 못할 것입니다. 즉, 일반적으로 인증서를 신뢰해서는 안됩니다. 주요 플랫폼이 실제로 신뢰하는 새로운 CA 공급 업체의 모든 내용에 서명하는 것이 좋습니다.

신뢰를 높이는 유일한 방법 은 신뢰할 수있는 CA가 CA에 서명하도록하는 것입니다. 이렇게하면 CA가 중간 CA 역할을하므로 클라이언트가 인증서 체인을 따라 사전 신뢰 된 CA 중 하나로 백업 할 수 있지만 발급 된 인증서는 여전히 하나의 공통 루트에서 시작됩니다.

그것은 최소한 이론이지만 PKI를 그들에게 넘겨주지 않으면 CA가 기꺼이 그렇게하지 않을 것입니다. CACert 위키 문제에 대한 몇 가지 세부 사항을 가지고있다.

따라서 클라이언트는 신뢰할 수있는 새 CA를 설치하거나 자신의 CA가 아니라 Ramhound가 제안한 사전 신뢰 된 일부 인증서에 의해 클라이언트 쪽 인증서를 발급 받게됩니다.