Para explicar a situação um pouco:
Estou criando um aplicativo para iOS que usa SSL fixar . Eu criei uma autoridade de certificação auto-assinada que emite certificados SSL para o meu servidor web, e o certificado da CA é empacotado com o aplicativo para verificação. Eu gostaria de usar o letsencrypt para criar os certificados SSL para o servidor web, para que eles fiquem implícitos nos navegadores, mas seus certificados não seriam ser assinado pelo meu CA para que isso não funcione no aplicativo. (Vale a pena notar que os certificados emitidos pelo letsencrypt são muito curtos, então eles não podem ser usados diretamente para fixar o SSL).
Por isso, gostaria de gerar um certificado usando o comando letsencrypt e, em seguida, assine-o com minha CA. Isso é possível?
Um certificado só pode conter uma única assinatura. Mas, como você está usando a marcação SSL de qualquer maneira, não há necessidade de ter sua própria CA, porque dentro de seu aplicativo iOS você simplesmente verifica a impressão digital da chave pública. Contanto que você use o mesmo par de chaves ao renovar o certificado com o letsencrypt, a impressão digital da chave pública identificará o certificado também após a renovação.
Is it possible to have a certificate signed by 2 authorities?
Não. Há apenas espaço para um emissor, um identificador de chave de autoridade, etc.
Veja também Certificado com vários signatários? na lista de correspondência do PKIX. O PKIX é o PKI da Internet, conforme chamado pelo IETF. Outros PKIs podem ser diferentes.
Se você encontrar outra PKI que permita, provavelmente não funcionará / interoperará com navegadores e outros agentes de usuário, como curl , < em> wget , etc. Eles simplesmente não sabem como lidar com o certificado.