2つの当局によって署名された証明書を持つことは可能ですか?
状況を少し説明するには:
SSLピン留め を使用するiOSアプリケーションを構築しています。 WebサーバーにSSL証明書を発行する自己署名認証局を作成しました。CAの証明書は検証のためにアプリケーションにバンドルされています。 letsencrypt を使用してWebサーバーのSSL証明書を作成し、Webブラウザーによって暗黙的に信頼されるようにしたいのですが、証明書がCAによって署名されないため、これは機能しません。アプリケーションで。 (letsencryptによって発行された証明書は非常に短命であるため、SSLピン留めに直接使用することはできません)。
そこで、letsencryptを使用して証明書を生成し、それをCAと相互署名したいと思います。これは可能ですか?
証明書に含めることができる署名は1つだけです。ただし、とにかくSSLピン留めを使用しているため、独自のCAを用意する必要はありません。iOSアプリ内で公開鍵の指紋を確認するだけだからです。証明書をletsencryptで更新するときに同じ鍵ペアを使用する限り、公開鍵指紋は更新後も証明書を完全に識別します。
2つの当局によって署名された証明書を持つことは可能ですか?
いいえ。1つの発行者、1つの権限キー識別子などのためのスペースしかありません。
PKIXメーリングリストの 複数の署名者がいる証明書? も参照してください。 PKIXは、IETFによって呼び出されるインターネットのPKIです。他のPKIは異なる場合があります。
それを許可する別のPKIに遭遇した場合、それはブラウザやcurl、wgetなど。彼らは単に処理方法を知りません。証明書。