Aby trochę wyjaśnić sytuację:
Tworzę aplikację na system iOS, która wykorzystuje przypinanie SSL . Utworzyłem samopodpisany urząd certyfikacji, który wydaje certyfikaty SSL na mój serwer internetowy, a certyfikat urzędu certyfikacji jest dołączany do aplikacji w celu weryfikacji. Chciałbym użyć letsencrypt do utworzenia certyfikatów SSL dla serwera WWW, aby były one niejawnie zaufane przez przeglądarki internetowe, ale ich certyfikaty nie byłyby podpisywane przez mój urząd certyfikacji, więc to nie działałoby w aplikacji. (Warto zauważyć, że certyfikaty wydawane przez letsencrypt są bardzo krótkotrwałe, więc nie można ich używać bezpośrednio do przypinania SSL).
Chciałbym więc wygenerować certyfikat za pomocą letsencrypt, a następnie podpisać go krzyżowo w moim urzędzie certyfikacji. czy to możliwe?
źródło
Odpowiedzi:
Certyfikat może zawierać tylko jeden podpis. Ale ponieważ i tak używasz przypinania SSL, nie musisz mieć własnego urzędu certyfikacji, ponieważ w aplikacji na iOS po prostu sprawdzasz odcisk palca klucza publicznego. O ile używasz tej samej pary kluczy podczas odnawiania certyfikatu za pomocą letsencrypt, odcisk palca klucza publicznego w pełni identyfikuje certyfikat również po odnowieniu.
źródło
Nie. Jest tylko miejsce dla jednego wystawcy, jednego identyfikatora klucza urzędu itp.
Zobacz także Certyfikat z wieloma osobami podpisującymi? na liście mailingowej PKIX. PKIX to internetowa infrastruktura PKI wywołana przez IETF. Inne PKI mogą się różnić.
W przypadku napotkania innego PKI, który na to pozwala, to prawdopodobnie nie będzie działać / współdziałanie z przeglądarek i innych agentów użytkownika, jak
curl
,wget
itp Oni po prostu nie wiedzą, jak radzić sobie z certyfikatu.źródło