x509（服務器）證書由多個CA簽名？

Question

是否有人知道是否可以通過兩個CA簽署csr並提供兩個證書？

---

原因問： 運行多個服務（HTTPS，郵件，IMAP，混帳，XMPP ...）的服務器，我運行它CA，也可用於客戶端證書（XMPP，郵件加密等）。 這意味着用戶必須導入CA證書，這對高級用戶來說沒問題。

一些應用程序（郵件和https）必須由普通（非電力？，普通？）用戶訪問，所以使用免費的ssl證書是非常好的，因爲它已經安裝在所有常用瀏覽器中我想到了startssl）。

我的第一次嘗試是讓我的CA證書由官方CA簽名，例如， startssl，但可以理解的是，這不適用於免費使用。

因此，現在我想爲常用服務創建一個csr，並由官方CA和我自己的CA簽名，並提供這兩種證書，官方稱爲「後備」。

還是有更聰明的方法？

Answer 1

您不能擁有由多個CA簽名的證書（只有一個X.509格式的頒發者）。您可以將相同的CSR提交給2個CA，但這將生成2個不同的證書（如果這是您的目標，那麼通常擁有不同的關鍵材料，因此不同的CSR會更好）。

如果您的客戶端支持服務器名稱指示（SNI），您可能會在同一服務上爲兩個不同的證書服務，但服務也需要具有不同的名稱（否則，不可能區分請求哪個名稱）。

通過嘗試在服務器上的相同服務上使用兩個不同的CA或兩個證書，您肯定過度複雜化了您的問題。

無論如何，「電力用戶」也肯定會擁有主要的商業CA。在這種情況下，爲他們提供由您自己的CA簽署的證書並不會帶來任何好處。如果他們的主要區別在於他們會附帶由您自己的CA頒發的客戶端證書，則無法阻止您在服務器上信任自己的CA（以及他們的客戶端證書），同時仍然提供由商業CA.您的服務器使用的信任錨不一定與其客戶使用的信任錨有任何關係。