稍微解释一下情况:
我正在构建一个使用SSL 固定。我创建了一个自签名证书颁发机构,该机构向我的 Web 服务器颁发 SSL 证书,并且 CA 的证书与应用程序捆绑在一起以供验证。我想使用letsencrypt为 Web 服务器创建 SSL 证书,以便 Web 浏览器可以隐式信任这些证书,但它们的证书不会由我的 CA 签名,因此这在应用程序中不起作用。(值得注意的是,letsencrypt 颁发的证书有效期很短,因此不能直接用于 SSL 固定)。
因此,我想使用 letsencrypt 生成证书,然后使用我的 CA 进行交叉签名。这可能吗?
答案1
证书只能包含一个签名。但是,由于您无论如何都在使用 SSL 固定,因此无需拥有自己的 CA,因为在您的 iOS 应用程序中,您只需检查公钥指纹即可。只要您在使用 letsencrypt 续订证书时使用相同的密钥对,公钥指纹在续订后也可以完全识别证书。
答案2
是否可以获得由两个权威机构签署的证书?
不可以。只有一个发行者、一个权威密钥标识符等的空间。
另请参阅具有多个签名者的证书?在 PKIX 邮件列表中。PKIX 是 IETF 所称的互联网 PKI。其他 PKI 可能有所不同。
如果你遇到另一个允许它的 PKI,那么它很可能无法与浏览器和其他用户代理一起工作/互操作,例如curl,wget等等。他们根本不知道如何处理证书。