由多个CA签名的x509 (服务器)证书？

Question

有人知道由两个CA签署csr并同时交付证书是否可行吗？

询问原因:运行多个服务的服务器(https、mail、imap、git、xmpp.)我为它运行一个CA，也用于客户端证书(xmpp、邮件加密等)。这意味着用户必须导入CA证书，这对于高级用户来说是可以的。

有些应用程序(邮件和https)必须由常规(非电源？，公共？)访问。用户，所以最好使用一个免费的ssl证书，它已经安装在所有常见的浏览器中(我想到startssl)。

我的第一次尝试是让我的CA证书由官方CA签署，例如startssl，但这并不适用于免费使用，这是可以理解的。

因此，现在我考虑为常用的服务创建一个csr，并让它由一个官方CA和我自己的CA签署，并与这两个证书一起使用，官员作为“后备”。

还是有更聪明的方法？

Answer 1

您不能拥有由多个can签名的证书( X.509格式中只有一个颁发者)。您可以向2个CA提交相同的CSR，但这将产生2个不同的证书(如果这是您的目标，通常最好有不同的关键材料，所以无论如何都会有不同的CSR)。

如果客户端支持服务器名称指示(SNI)，则可能会在同一服务上服务器两个不同的证书，但这些服务还需要有不同的名称(否则，就不可能区分请求的名称)。

通过尝试在服务器上的同一服务上使用两个不同的CA或两个证书，您肯定过于复杂了您的问题。

“超级用户”当然也会有主要的商业CA在他们的信任锚定。在这种情况下，为他们提供由您自己的CA签名的证书并不能真正带来任何好处。如果他们的主要区别是他们会附带一个由您自己的CA颁发的客户证书，那么没有什么可以阻止您在服务器上信任您自己的CA (因此也是他们的客户证书)，同时仍然提供一个由商业CA颁发的服务器证书。服务器使用的信任锚与其客户端使用的信任锚没有任何关系。