自签名CA旁边的签名CA？

Question

我想要做的是在我的网站(运行在Apache上)上实现客户端证书认证。

从这个问题中我了解到，不可能自己根据一个签名的证书(例如由Comodo发布)生成一个客户端证书。

我的问题是，对于任何一个关于Apache的网站，我是否可以使用一个自我签名的CA来验证我的用户(通过他们导入一个客户端证书)，同时使用一个签名的证书，这样‘url’栏就变成绿色了？

非常感谢!

Answer 1

用于对服务器和客户端进行身份验证的证书不必由同一实体颁发。您完全可以使用您购买的证书来设置web服务器，同时创建您自己的公钥基础设施来处理客户证书。

身份验证过程是不相互的，因此这种情况是可能的，但由于非对称加密和适当的信任链，这种情况仍然是安全的。