¿Es posible tener un certificado OpenSSL firmado por varias CA?
Antecedentes: Contamos con una CA para emitir certificados principalmente para nuestras comunicaciones de máquina a máquina. Ahora necesitamos hacer que algunos servicios también sean accesibles para los usuarios y nos gustaría usar la misma CA pero, por supuesto, la mayoría de los proveedores no confían en ella. Sería bueno si pudiéramos conseguir que otra CA firmara esos certificados para aumentar la confianza.
Respuesta1
No, no es posible que un certificado X.509 (el tipo utilizado por OpenSSL) tenga más de una firma. Sin embargo, puede emitir varios certificados que harán el mismo trabajo.
Siempre que mantenga la misma clave y el mismo asunto, puede crear varios certificados de CA, cada uno de los cuales será un certificado de emisor válido para los certificados que (¿esas?) CA emiten. Estos certificados de CA pueden estar autofirmados o ser emitidos por una CA diferente, lo que se denomina certificado con firma cruzada.
Las otras respuestas tienen razón: cualquier CA comercial querrá examinar minuciosamente sus políticas y procedimientos antes de firmar su CA. Dicho esto, definitivamente es posible desde un punto de vista técnico.
Si los usuarios de los que habla utilizan sólo dispositivos que usted controla (es decir, son usuarios internos), le sugiero que instale su certificado de CA raíz en esos dispositivos. Esto es lo que hacen muchas grandes empresas (¡y yo de hecho lo hago en mi propia red!) y le permite emitir tantos certificados de uso interno como desee, de acuerdo con sus propias políticas.
Si, por otro lado, los usuarios son externos a su organización (o incluso empleados que trabajan desde casa, por ejemplo), entonces probablemente sea mejor tener certificados emitidos por una CA comercial confiable. Si necesitará muchos de estos certificados (más de 5 por año), la mayoría de las CA comerciales tienen programas que alivian la carga administrativa y, a menudo, reducen los costos; Si necesita una cantidad realmente grande (ni siquiera me molestaría en buscar a menos que sean más de 100 por año), puede considerar acercarse a una CA para configurar una CA subordinada personalizada (pero, como se indicó anteriormente, probablemente lo querrán). para configurar unnuevoCA de acuerdo con sus políticas en lugar de firmar la existente).
Respuesta2
Sería bueno si pudiéramos conseguir que otra CA firmara esos certificados para aumentar la confianza.
Incluso si esto fuera posible, no aumentaría el nivel de confianza, porque una parte que no es de confianza también firmó el certificado, lo que significa que no se debe confiar en el certificado en general. Le sugiero que firme todo de un nuevo proveedor de CA en el que las principales plataformas realmente confíen.
Respuesta3
La única manera de aumentar la confianza sería tener suCaliforniafirmado por una CA de confianza. De esa manera, su CA actuaría como una CA intermedia, de modo que los clientes puedan seguir su cadena de certificados hasta una de las CA preconfiables, pero todos sus certificados emitidos aún se originan desde una raíz común.
Esa es al menos la teoría, pero hasta donde tengo entendido, ninguna CA estará dispuesta a hacerlo a menos que usted les entregue su PKI. ElWiki CACerttiene algunos detalles sobre el problema.
Entonces, al parecer, debe lograr que sus clientes instalen una nueva CA confiable o que sus certificados de cara al cliente no sean emitidos por su propia CA, sino por algunas de las grandes y previamente confiables, como sugirió Ramhound.