如何让多个CA证明单个证书
你知道,只是其中一个CA不受客户信任......下面的这张旧图片和this answer表明了这种可能性。我有Microsoft Server CA和OpenSSL它仍然感觉不可能。
这不是重复,说现有的问题,但它建立在它最近的答案,裁定现在可能...在这个问题我寻求帮助如何...为什么你一直认为它的重复?
1 个答案:
答案 0 :(得分:1)
是否可以让多个CA证明单个证书?
这取决于,但主要是NO。这取决于所使用的PKI。有两种广泛使用的PKI,它们都不允许使用它。
第一个普遍存在的PKI属于CA/Browser Baseline Requirements。 CA / B BR记录了浏览器正在做什么。第二个是IETF的PKIX。它的用户代理如curl和wget如下。
CA / B和IETF的规则略有不同。有关更深入的讨论,请参阅How do you sign Certificate Signing Request with your Certification Authority?
现在,还有其他两个选项可供您使用,但它们需要一些工作。
第一个替代选项是运行您自己的PKI,它允许它。但浏览器和其他用户代理不知道如何处理证书。
第二种备选方案是使用包含第二权威认证的扩展。然后,主要权限(如公共CA)将使用扩展名对请求进行签名。扩展名通常用于政策(如传达"扩展验证和信息),但它可能适用于此。
另请参阅超级用户Is it possible to have a certificate signed by 2 authorities?。
另请参阅PKIX邮件列表中的Certificate with Multiple Signers?。 PKIX是IETF提出的互联网PKI。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?