여러 CA에서 서명한 인증서

아니요, X.509 인증서(OpenSSL에서 사용하는 유형)에는 두 개 이상의 서명이 있을 수 없습니다. 그러나 동일한 작업을 수행하는 여러 인증서를 발급할 수 있습니다.

키와 제목을 동일하게 유지하면 CA가 발급하는 인증서에 대한 유효한 발급자 인증서로 각각 충족되는 여러 CA 인증서를 만들 수 있습니다. 이러한 CA 인증서는 자체 서명되거나 교차 서명 인증서라고 하는 다른 CA에서 발급될 수 있습니다.

다른 답변자는 정확합니다. 모든 상업용 CA는 CA에 교차 서명하기 전에 정책과 절차를 철저히 검사하기를 원할 것입니다. 즉, 기술적인 관점에서는 확실히 가능합니다.

귀하가 말하는 사용자가 귀하가 제어하는 ​​장치만 사용하는 경우(예: 내부 사용자) 해당 장치에 루트 CA 인증서를 설치하는 것이 좋습니다. 이는 많은 대기업이 수행하는 방식이며(저는 실제로 자체 네트워크에서 수행합니다!) 자체 정책에 따라 원하는 만큼 내부 전용 인증서를 발급할 수 있습니다.

반면에 사용자가 조직 외부에 있는 경우(예를 들어 재택근무하는 직원도 포함) 신뢰할 수 있는 상업용 CA에서 인증서를 발급받는 것이 가장 좋습니다. 이러한 인증서가 많이 필요한 경우(연간 5개 이상) 대부분의 상업용 CA에는 관리 부담을 완화하고 비용을 절감하는 프로그램이 있습니다. 정말 많은 양이 필요한 경우(연간 100개를 넘지 않는 한 굳이 찾아볼 필요도 없음) CA에 접근하여 사용자 지정 하위 CA를 설정하는 것을 고려할 수 있습니다(그러나 위와 마찬가지로 그들은 당신을 원할 가능성이 높습니다). 설정하려면새로운기존 정책에 교차 서명하는 대신 해당 정책에 따라 CA를 사용하세요.

신뢰를 높이기 위해 다른 CA에서 서명한 인증서를 얻을 수 있다면 좋을 것입니다.

이것이 가능하더라도 신뢰할 수 없는 당사자도 인증서에 서명했기 때문에 신뢰 수준이 높아지지 않습니다. 이는 일반적으로 인증서를 신뢰할 수 없다는 의미입니다. 주요 플랫폼이 실제로 신뢰하는 새로운 CA 공급업체의 모든 것에 서명하는 것이 좋습니다.

신뢰를 높이는 유일한 방법은캘리포니아신뢰할 수 있는 CA에 의해 서명되었습니다. 이렇게 하면 CA가 중간 CA 역할을 하여 클라이언트가 인증서 체인을 따라 미리 신뢰할 수 있는 CA 중 하나까지 백업할 수 있지만 발급된 인증서는 모두 여전히 하나의 공통 루트에서 시작됩니다.

최소한 그것은 이론입니다. 그러나 제가 이해하는 한, 귀하가 PKI를 CA에 넘겨주지 않는 한 CA는 이를 기꺼이 수행하지 않을 것입니다. 그만큼CACert 위키문제에 대한 세부정보가 있습니다.

따라서 클라이언트가 신뢰할 수 있는 새 CA를 설치하도록 하거나 클라이언트 측 인증서를 자체 CA가 아닌 Ramhound가 제안한 사전 신뢰할 수 있는 대규모 CA에서 발급하도록 해야 합니다.