Czy możliwe jest podpisanie certyfikatu przez 2 organy?

Aby trochę wyjaśnić sytuację:

Tworzę aplikację na system iOS, która wykorzystuje przypinanie SSL . Utworzyłem samopodpisany urząd certyfikacji, który wydaje certyfikaty SSL na mój serwer internetowy, a certyfikat urzędu certyfikacji jest dołączany do aplikacji w celu weryfikacji. Chciałbym użyć letsencrypt do utworzenia certyfikatów SSL dla serwera WWW, aby były one niejawnie zaufane przez przeglądarki internetowe, ale ich certyfikaty nie byłyby podpisywane przez mój urząd certyfikacji, więc to nie działałoby w aplikacji. (Warto zauważyć, że certyfikaty wydawane przez letsencrypt są bardzo krótkotrwałe, więc nie można ich używać bezpośrednio do przypinania SSL).

Chciałbym więc wygenerować certyfikat za pomocą letsencrypt, a następnie podpisać go krzyżowo w moim urzędzie certyfikacji. czy to możliwe?

— Ell Neal
źródło

Może to być lepsze na security.stackexchange.com

— Raystafarian

Nie dołączaj certyfikatu głównego urzędu certyfikacji, dołącz ostateczny certyfikat. Wystarczy użyć zwykłych, komercyjnych, dwuletnich certyfikatów i co roku publikować nową wersję aplikacji, w pakiecie z dwoma nakładającymi się certyfikatami. Klientowi przypiętemu do certyfikatu łatwo jest zaakceptować jeden z kilku certyfikatów. LUB zlecaj podpisanie swojej strony internetowej przez letsencrycpt, ale podpisz API za pomocą podpisu własnego w subdomenie. Twoja aplikacja nie ma dostępu do stron WWW lub użytkowników uzyskujących dostęp do interfejsu API za pośrednictwem przeglądarki, więc naprawdę nie czuję twojego problemu.

— Agent_L,

Jak sugeruje @Agent_L, zalecam użycie osobnej (pod) domeny dla interfejsu API aplikacji.

— zelanix,

@Agent_L problem jest wyłącznie mój. Nie muszę tego robić, uszczęśliwiałoby mnie to, że jest to ważny certyfikat SSL, ale nadal przypięty. To pytanie brzmi tylko: „Czy można to zrobić?”, Niekoniecznie mówiąc, że nie mogę kontynuować bez zrobienia tego.

— Ell Neal

@Agent_L: Sam „ważny” ma tutaj różne znaczenie - na przykład w kręgach OpenPGP (i często także w X.509) nie ma on nic wspólnego z poprawnością formatu / składni, ale wszystko, co dotyczy zaufania podpisy, które nosi certyfikat. Samopodpisany certyfikat X.509 nie byłby zniekształcony, ale nadal mógłby być nieważny w tym sensie, że nie ma kotwicy zaufania, która by go zweryfikowała ...

— grawity

Certyfikat może zawierać tylko jeden podpis. Ale ponieważ i tak używasz przypinania SSL, nie musisz mieć własnego urzędu certyfikacji, ponieważ w aplikacji na iOS po prostu sprawdzasz odcisk palca klucza publicznego. O ile używasz tej samej pary kluczy podczas odnawiania certyfikatu za pomocą letsencrypt, odcisk palca klucza publicznego w pełni identyfikuje certyfikat również po odnowieniu.

— Steffen Ullrich
źródło

Czy możliwe jest podpisanie certyfikatu przez 2 organy?

Nie. Jest tylko miejsce dla jednego wystawcy, jednego identyfikatora klucza urzędu itp.

Zobacz także Certyfikat z wieloma osobami podpisującymi? na liście mailingowej PKIX. PKIX to internetowa infrastruktura PKI wywołana przez IETF. Inne PKI mogą się różnić.

W przypadku napotkania innego PKI, który na to pozwala, to prawdopodobnie nie będzie działać / współdziałanie z przeglądarek i innych agentów użytkownika, jak curl, wgetitp Oni po prostu nie wiedzą, jak radzić sobie z certyfikatu.

— jww
źródło