É possível ter um certificado OpenSSL assinado por várias CAs?
Histórico: Temos uma CA para emitir certificados principalmente para nossas comunicações máquina a máquina. Agora precisamos tornar alguns serviços acessíveis também aos usuários e gostaríamos de usar a mesma CA, mas é claro que ela não é confiável para a maioria dos fornecedores. Seria bom se pudéssemos assinar esses certificados por outra CA para aumentar a confiança.
Responder1
Não, não é possível que um certificado X.509 (tipo usado pelo OpenSSL) tenha mais de uma assinatura. No entanto, você pode emitir vários certificados que farão o mesmo trabalho.
Desde que você mantenha a chave e o assunto iguais, você pode criar vários certificados de CA que serão satisfeitos como um certificado de emissor válido para os certificados que (essas?) CA(s) emitem. Esses certificados de CA podem ser autoassinados ou emitidos por diferentes CA, como o que é chamado de certificado com assinatura cruzada.
Os outros respondentes estão corretos: qualquer CA comercial desejará examinar minuciosamente suas políticas e procedimentos antes de assinar sua CA. Dito isto, é definitivamente possível do ponto de vista técnico.
Se os usuários dos quais você está falando usam apenas dispositivos que você controla (ou seja, são usuários internos), sugiro instalar seu certificado CA raiz nesses dispositivos. Isto é o que muitas grandes empresas fazem (e eu realmente faço isso na minha própria rede!) e permite que você emita certificados somente para uso interno quantas vezes quiser, de acordo com suas próprias políticas.
Se, por outro lado, os usuários forem externos à sua organização (ou mesmo funcionários que trabalham em casa, por exemplo), provavelmente será melhor ter certificados emitidos por uma CA comercial confiável. Se você precisar de muitos desses certificados (mais de 5 por ano), a maioria das CAs comerciais possui programas que aliviam a carga administrativa e muitas vezes diminuem os custos; se você precisar de uma quantidade realmente grande (eu nem me preocuparia em procurar, a menos que seja mais de 100 por ano), você pode considerar entrar em contato com uma CA para configurar uma CA subordinada personalizada (mas, como acima, eles provavelmente vão querer você para configurar umnovoCA de acordo com suas políticas, em vez de assinar a existente).
Responder2
Seria bom se pudéssemos assinar esses certificados por outra CA para aumentar a confiança.
Mesmo que isto fosse possível, não aumentaria o nível de confiança, porque uma parte não confiável também assinou o certificado, o que significa que o certificado em geral não deve ser confiável. Sugiro que você assine tudo de um novo fornecedor de CA em que as principais plataformas realmente confiem.
Responder3
A única maneira de aumentar a confiança seria ter o seuCAassinado por uma CA confiável. Dessa forma, sua CA atuaria como uma CA intermediária, para que os clientes possam seguir sua cadeia de certificados até uma das CAs pré-confiáveis, mas todos os seus certificados emitidos ainda se originam de uma raiz comum.
Essa é a teoria, pelo menos - mas, pelo que entendi, nenhuma CA estará disposta a fazer isso, a menos que você entregue sua PKI a eles. OWiki do CACerttem alguns detalhes sobre o problema.
Ao que parece, você está preso em fazer com que seus clientes instalem uma nova CA confiável ou em ter seus certificados voltados para o cliente emitidos não por sua própria CA, mas por alguns dos grandes e pré-confiáveis, como sugeriu Ramhound.