2人の自己署名入りの認証局(別の人に属する)を作成してからクロスサインして、発行された証明書が両方から信頼されるようにする必要があります。OpenSSLとのクロスサイン
しかし、驚くべきことに、私はOpenSSLを使ってそうする方法についてのドキュメントを見つけることができません。
インターウェブには、クロスサインを説明するいくつかの(すでに死んでいる)スクリプトがありますが、私はそれらを掘り起こすことはできませんでした。
OpenSSL CAの経験がある人はいますか? :)
なぜクロスサインする必要がありますか?
私が知る限り、それはすべて信頼についてです。言い換えれば、人物AがCA1とCA2を信頼し、人物BもCA1とCA2を信頼すれば、あなたはあなたが望むものを正確に持っています。たとえば、インターネットブラウザは多くのCAを信頼していますが、私のインターネットブラウザも多くのCAを信頼しています。つまり、との両方のブラウザで信頼されています。証明書が相互署名されていることを意味しますか?両方のCAの適切な証明書をクライアント/サーバーに追加するだけです。
どちらの権限も元の発行者だけでなく、CRLに署名できる必要があるためです。 – wizzard0
できればCRLを避けるためのアドバイスはありますが、これは一般的に非常に悪い考えです([HERE](http://www.cs.auckland.ac.nz/~pgut001/pubs/pkitutorial.pdfを参照))。あなたがそれを避けることができないなら、私の心に来る唯一のことはCAの連鎖を作成しようとすることです: 'CA1(ルートCA)の兆候 - > CA2'。あなたは2つのCAを持っています(お互いを信頼する人のために)。私はどちらもCRLに署名できるかどうかはわかりません。 – sirgeorge
一般概念:証明書には、これが認証局であるかどうかを示すフィールドがあります。デフォルト設定では、このフィールドは強制的に「no」に設定され、通常は「critical」ビットも設定されます。それを「はい」に設定する必要があります。そうでなければ、これは通常の認証です。私はHOWTOを与えていないので答えはありません。 –
もちろん、CA:trueが設定されています。そうでない場合は、CAとしてこれらの証明書をどのように使用しますか? :) – wizzard0