ssl-certificate - symantec - digicert
¿Un certificado SSL puede ser firmado por múltiples autoridades de certificación? (3)
Sería bueno difundir la confianza un poco, por lo que no tenemos que confiar en una sola raíz en ningún caso.
¿Es posible tener un solo certificado firmado por más de una CA?
¿Un certificado SSL puede ser firmado por múltiples autoridades de certificación?
Depende, pero en su mayoría NO. Depende de la PKI que se utilice. Se usan dos PKI extendidas, y ninguna de ellas lo permite.
La primera PKI extendida está bajo los requisitos de línea de base de CA / navegador . El CA / B BR documenta lo que hacen los navegadores. El segundo es el PKIX del IETF. Es lo que siguen los agentes de usuario como curl y wget. Ninguno de ellos lo permite.
El CA / B y el IETF tienen reglas ligeramente diferentes. Para una discusión más detallada, vea ¿Cómo firmar la Solicitud de firma de certificado con su Autoridad de certificación?
Ahora, hay otras dos opciones que podrían funcionar para usted, pero requerirán algo de trabajo.
La primera opción alternativa es ejecutar su propia PKI que lo permita. Pero los navegadores y otros agentes de usuario no sabrán cómo manejar los certificados.
La segunda opción alternativa es usar una extensión que incluya la certificación de la segunda autoridad. Entonces, la autoridad principal, como una CA pública, firmaría la solicitud con una extensión. Los agentes de usuario típicos usarán la firma pública habitual de CA, mientras que su software personalizado usará la firma alternativa incrustada.
Las extensiones se usan generalmente para políticas (como transmitir información de "validación extendida"), pero puede funcionar aquí. Sin embargo, la PKI de IETF carece de política, por lo que es posible que deba ser creativo.
Ver también ¿Es posible tener un certificado firmado por 2 autoridades? en superusuario.
También ver certificado con múltiples firmantes? en la lista de correo PKIX. PKIX es la PKI de Internet según lo indica el IETF.
No, el formato de certificado X509 hasta la versión 3 está diseñado para contener exactamente una firma.
Sí, es posible. Puedes encontrar un ejemplo aquí:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/