Certificados assinados por várias CAs

Navegue suas respostas
4

É possível ter um certificado OpenSSL assinado por várias CAs?

Histórico: Temos uma CA para emitir certificados principalmente para nossas comunicações máquina-a-máquina. Agora, precisamos tornar alguns serviços acessíveis aos usuários também e gostaríamos de usar a mesma autoridade de certificação, mas obviamente não é confiável para a maioria dos fornecedores. Seria bom se pudéssemos obter esses certificados assinados por outra CA para aumentar a confiança.

    
por Silvia 20.09.2012 / 12:17

3 respostas

1

Não, não é possível que um certificado X.509 (o tipo usado pelo OpenSSL) tenha mais de uma assinatura. No entanto, você pode emitir vários certificados que farão o mesmo trabalho.

Se você mantiver a chave e o mesmo assunto, poderá criar vários certificados de CA que cada um satisfará como um certificado de emissor válido para os certificados emitidos pelas CA (s). Esses certificados de autoridade de certificação podem ser auto-assinados ou emitidos por uma autoridade de certificação diferente, como é chamado de certificado com assinatura cruzada.

Os outros respondentes estão corretos: qualquer autoridade de certificação comercial deve examinar cuidadosamente suas políticas e procedimentos antes de assinar sua CA. Dito isso, é definitivamente possível do ponto de vista técnico.

Se os usuários dos quais você está falando estiverem usando apenas dispositivos que você controla (por exemplo, usuários internos), sugiro instalar o certificado de CA raiz nesses dispositivos. Isso é o que muitas empresas de grande porte fazem (e eu realmente faço isso em minha própria rede!) E permite que você emita certificados somente para uso interno o quanto quiser, de acordo com suas próprias políticas.

Se, por outro lado, os usuários forem externos à sua organização (ou até mesmo funcionários trabalhando em casa, por exemplo), provavelmente será melhor ter certificados emitidos por uma CA comercial confiável. Se você precisar de muitos desses certificados (5 ou mais por ano), a maioria das CAs comerciais tem programas que aliviam a carga administrativa e geralmente reduzem os custos; Se você precisar de uma quantidade realmente grande (eu nem me incomodaria em procurar, a menos que seja mais de 100 por ano), considere abordar uma CA para configurar uma CA subordinada personalizada (mas, como acima, eles provavelmente para configurar uma nova autoridade de certificação de acordo com suas políticas, em vez de fazer o sinal cruzado de sua existente).

    
por 14.10.2013 / 05:13
1

It would be nice if we could get those certificates signed by another CA to increase trust.

Mesmo que isso fosse possível, não aumentaria o nível de confiança, porque uma parte não confiável também assinou o certificado, o que significa que o certificado em geral não deve ser confiável. VBvBvBvBvBvBvBvBvBvBvBvBvBBBvBBBvBes esBBesvBvvesvvBvesvv vBvBvesvv esv ves vBesvv ves ves ves esvBvBBv esvBes     

por 20.09.2012 / 13:02
0

A única maneira de aumentar a confiança seria ter sua CA assinada por uma CA confiável. Dessa forma, sua autoridade de certificação atuaria como uma autoridade de certificação intermediária, para que os clientes possam acompanhar sua cadeia de certificados até uma das CAs pré-confiáveis, mas todos os certificados emitidos ainda são originários de uma raiz comum.

Essa é a teoria, pelo menos - mas até onde eu entendo, nenhuma AC estará disposta a fazer isso a menos que você entregue seu PKI para eles. O wiki do CACert tem alguns detalhes sobre o problema.

Assim, ao que parece, você fica com os clientes instalados para instalar uma nova CA confiável ou com certificados voltados para o cliente emitidos não pela sua própria CA, mas por alguns dos grandes e pré-confiáveis como o Ramhound. sugerido.

    
por 11.12.2012 / 01:20

Tags

Windows 8 demorando 4 minutos para desligar Uma UPS de 300 W funcionará bem se a minha PSU for de 500 W?