Von mehreren Zertifizierungsstellen signierte Zertifikate

Nein, ein X.509-Zertifikat (der von OpenSSL verwendete Typ) kann nicht mehr als eine Signatur haben. Sie können jedoch mehrere Zertifikate ausstellen, die denselben Zweck erfüllen.

Vorausgesetzt, Sie behalten den Schlüssel und den Betreff bei, können Sie mehrere CA-Zertifikate erstellen, die jeweils als gültiges Ausstellerzertifikat für die von diesen CAs ausgestellten Zertifikate gelten. Diese CA-Zertifikate können selbst selbst signiert sein oder von verschiedenen CAs als sogenanntes Cross-Signed-Zertifikat ausgestellt werden.

Die anderen Antwortenden haben Recht: Jede kommerzielle Zertifizierungsstelle wird Ihre Richtlinien und Verfahren sehr gründlich prüfen wollen, bevor sie Ihre Zertifizierungsstelle gegensigniert. Allerdings ist dies aus technischer Sicht definitiv möglich.

Wenn die Benutzer, von denen Sie sprechen, nur Geräte verwenden, die Sie kontrollieren (d. h. es handelt sich um interne Benutzer), schlage ich vor, dass Sie Ihr Stamm-CA-Zertifikat auf diesen Geräten installieren. Viele große Unternehmen machen das so (und ich mache das tatsächlich in meinem eigenen Netzwerk!) und Sie können so viele Zertifikate nur für den internen Gebrauch ausstellen, wie Sie möchten, und zwar gemäß Ihren eigenen Richtlinien.

Wenn die Benutzer hingegen außerhalb Ihrer Organisation arbeiten (oder beispielsweise sogar Mitarbeiter, die von zu Hause aus arbeiten), ist es wahrscheinlich am besten, Zertifikate von einer vertrauenswürdigen, kommerziellen Zertifizierungsstelle ausstellen zu lassen. Wenn Sie viele dieser Zertifikate benötigen (5+ pro Jahr), haben die meisten kommerziellen Zertifizierungsstellen Programme, die den Verwaltungsaufwand verringern und oft die Kosten senken. Wenn Sie eine wirklich große Menge benötigen (ich würde mir nicht einmal die Mühe machen, danach zu suchen, es sei denn, es sind mehr als 100 pro Jahr), können Sie sich an eine Zertifizierungsstelle wenden, um eine benutzerdefinierte untergeordnete Zertifizierungsstelle einzurichten (aber wie oben erwähnt, werden sie wahrscheinlich von Ihnen verlangen, dass Sie eineneuCA gemäß deren Richtlinien, anstatt Ihre bestehende Zertifizierung zu unterzeichnen).

Es wäre schön, wenn wir diese Zertifikate von einer anderen Zertifizierungsstelle signieren lassen könnten, um das Vertrauen zu erhöhen.

Selbst wenn dies möglich wäre, würde es das Vertrauensniveau nicht erhöhen, da eine nicht vertrauenswürdige Partei das Zertifikat ebenfalls signiert hat, was bedeutet, dass dem Zertifikat im Allgemeinen nicht vertraut werden sollte. Ich schlage vor, Sie signieren einfach alles von einem neuen CA-Anbieter, dem die großen Plattformen tatsächlich vertrauen.

Die einzige Möglichkeit, das Vertrauen zu stärken, besteht darin,CAvon einer vertrauenswürdigen Zertifizierungsstelle signiert. Auf diese Weise fungiert Ihre Zertifizierungsstelle als Zwischenzertifizierungsstelle, sodass die Clients Ihre Zertifikatskette bis zu einer der vorab vertrauenswürdigen Zertifizierungsstellen verfolgen können, Ihre ausgestellten Zertifikate jedoch alle noch immer von einer gemeinsamen Wurzel stammen.

Das ist zumindest die Theorie – aber soweit ich weiß, wird keine Zertifizierungsstelle dazu bereit sein, es sei denn, Sie übergeben ihnen Ihre PKI. DieCACert-Wikienthält einige Einzelheiten zu dem Problem.

Sie stehen also vor der Aufgabe, Ihre Clients entweder dazu zu bringen, eine neue vertrauenswürdige Zertifizierungsstelle zu installieren, oder die Zertifikate für Ihre Clients nicht von Ihrer eigenen Zertifizierungsstelle ausstellen zu lassen, sondern von einer der großen, bereits als vertrauenswürdig geltenden Zertifizierungsstellen, wie Ramhound vorgeschlagen hat.