20
少し信頼を広げることはいいですから、どんな場合でもルートを1つだけ使う必要はありません。SSL証明書に複数の認証局が署名することはできますか?
複数のCAによって署名された単一の証明書を持つことはできますか。
A
答えて
14
いいえ、バージョン3までのX509 certificate formatは、正確に1つの署名を含むように設計されています。
3
はい、可能です。あなたはここに例を見つけることができます。
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
+1
私はその記事では確信していません。私は、著者が「2つの異なるチェーンによって発行された同じエンティティの2つの証明書」を意味するとき、「クロスサイン」を使用すると思います。彼のスクリーンショットには、少し異なる証明書名(LYNC-PROD-08とLYNC-PROD-08.fngn.com)も表示されます。 –
2
SSL証明書は、複数の認証局によって署名することはできますか?
これは、使用されているPKIに依存します。使用されるPKIは広く普及しており、どちらも許可されていません。
最初に広まったPKIはCA/Browser Baseline Requirementsです。 CA/B BRは、ブラウザが何をしているかを記録します。もう1つはIETFのPKIXです。これは、ユーザーエージェントがcurlやwgetのようなものです。どちらもそれを許さない。
CA/BとIETFのルールは少し異なります。より詳細な議論については、
How do you sign Certificate Signing Request with your Certification Authority?今、あなたのために働く可能性が他の二つのオプションがあります参照して、彼らはいくつかの作業が必要になります。
最初の代替オプションは、許可する独自のPKIを実行することです。しかし、ブラウザやその他のユーザエージェントは、証明書の処理方法を知らないでしょう。
第2の代替方法は、第2の機関の証明書を含む拡張を使用することです。次に、パブリックCAのような主権限は、拡張を伴う要求に署名します。典型的なユーザエージェントは、慣習的なパブリックCAシグネチャを使用し、カスタムソフトウェアは、埋め込まれた代替シグネチャを使用します。
拡張機能は通常、ポリシー(「拡張検証」情報の伝達など)に使用されますが、ここで機能する場合があります。しかし、IETFのPKIにはポリシーがないため、創造的にする必要があります。
スーパーユーザーのIs it possible to have a certificate signed by 2 authorities?も参照してください。
また、PKIXメーリングリストのCertificate with Multiple Signers?も参照してください。 PKIXは、IETFから呼び出されたインターネットのPKIです。
関連する問題
- 1. SSL証明書と署名証明書は同じですか?
- 2. SAML署名証明書 - どのSSL証明書タイプですか?
- 3. SSL自己署名CA証明書とPHPの問題/認証
- 4. Javaコード署名証明書はSSL証明書と同じですか?
- 5. 自己署名SSL証明書から信頼できる証明書へ
- 6. ssl自己署名証明書エラー - localhost
- 7. サブドメインにGoDaddy署名付きSSL証明書を適用する
- 8. 複数のSSL証明書
- 9. Javaサーバー自己署名証明書+クライアント証明書とSSL接続のリセット
- 10. CA証明書発行によるHTTPS SSL自己署名証明書
- 11. 複数のSSL証明書を有効にできますか?
- 12. 署名証明書
- 13. 自己署名入り証明書による証明書認証
- 14. 複数の証明書でAndroidアプリに署名することはできますか?
- 15. 流星が自己署名SSL証明書を許可する
- 16. ncat SSLの問題、証明書の確認に失敗しました(自己署名証明書)
- 17. コード署名にワイルドカードSSL証明書を使用できますか?
- 18. 認証局に証明書を要求する
- 19. SSL証明書を使用してファイルにデジタル署名することはできますか?
- 20. 自己署名SSL証明書を信頼できない
- 21. フェッチで自己署名SSL証明書を無視する
- 22. 署名証明書が無効です
- 23. .Netプログラミング:SSL自己署名証明書で検証するもの
- 24. SSL証明書を使用してコード署名をクリックすることはできますか?
- 25. openssl X509_verify_cert()は証明書の署名を検証しますか?
- 26. 複数のクレームプロバイダーの信頼で同じ署名証明書を使用することができます。
- 27. 証明書ストアでマニフェスト署名証明書を見つけることができません
- 28. は、証明書の署名とアイデンティティ
- 29. 複数のデバイスで自己署名入りのSSL証明書 - これで十分ですか?
- 30. d3.jsと自己署名入りのSSL証明書
複数の署名をサポートする別のフォーマットはありますか? – Jumbogram
@Jumbogram:複数の署名をサポートするX509証明書の代替フォーマットは認識していません。 PKCS#7標準と複数のシグネチャを許可するバリアントがありますが、TLSではサポートされていません。また、複数の署名を持つことができるPGP鍵をサポートするTLS拡張が定義されていますが、それらの拡張機能に対してはサポートがあまりないと思います。 –
ありがとうございます。私は複数のCAが1つのSSLセッションを認証することが可能かどうかを調べようとしています。私はその質問をあまり聞かなかったことを理解しているので、言い換えて新しい言葉を作ってもいいかもしれませんが、あなたの答えが私を助けました。 –