थोड़ा सा ट्रस्ट फैलाना अच्छा होगा, इसलिए हमें किसी भी उदाहरण में केवल एक रूट पर भरोसा नहीं करना है।एकाधिक प्रमाणपत्र प्राधिकरणों द्वारा एक एसएसएल प्रमाण पत्र पर हस्ताक्षर किए जा सकते हैं?
क्या एक से अधिक सीए द्वारा हस्ताक्षरित एक प्रमाणपत्र होना संभव है?
नहीं, X509 certificate format संस्करण 3 तक बिल्कुल एक हस्ताक्षर रखने के लिए डिज़ाइन किया गया है।
हां, यह संभव है। आप एक उदाहरण यहां पा सकते हैं:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
मुझे उस लेख से आश्वस्त नहीं है। मुझे लगता है कि लेखक "क्रॉस-हस्ताक्षरित" का उपयोग करता है जब उसका मतलब है "दो अलग-अलग श्रृंखलाओं द्वारा जारी एक ही प्रविष्टि के लिए दो प्रमाणपत्र"। उनके स्क्रीनशॉट भी थोड़ा अलग प्रमाण पत्र नाम दिखाते हैं (LYNC-PROD-08 बनाम LYNC-PROD-08.fngn.com)। –
एक SSL प्रमाणपत्र कई प्रमाणपत्र अधिकारियों द्वारा हस्ताक्षरित किया जा सकता है?
यह निर्भर करता है, लेकिन अधिकतर नहीं। यह इस्तेमाल होने वाले पीकेआई पर निर्भर करता है। दो व्यापक पीकेआई उपयोग किए जाते हैं, और उनमें से कोई भी इसे अनुमति नहीं देता है।
पहला व्यापक पीकेआई CA/Browser Baseline Requirements के तहत है। सीए/बी बीआर दस्तावेज क्या ब्राउज़र कर रहे हैं। दूसरा आईईटीएफ का पीकेक्स है। यह वही है जो उपयोगकर्ता एजेंट कर्ल और wget का पालन करते हैं। उनमें से कोई भी इसे अनुमति नहीं देता है।
सीए/बी और आईईटीएफ के पास थोड़ा अलग नियम हैं। एक अधिक विस्तृत चर्चा के लिए, How do you sign Certificate Signing Request with your Certification Authority?
अब, वहाँ दो अन्य विकल्प है कि आप के लिए काम कर सकता था कर रहे हैं, लेकिन वे कुछ काम की आवश्यकता होगी।
पहला वैकल्पिक विकल्प अपने स्वयं के पीकेआई को चलाने की अनुमति देता है जो इसे अनुमति देता है। लेकिन ब्राउज़र और अन्य उपयोगकर्ता एजेंट नहीं जानते होंगे कि प्रमाण पत्र कैसे प्रबंधित करें।
दूसरा वैकल्पिक विकल्प एक एक्सटेंशन का उपयोग करना है जिसमें दूसरे प्राधिकरण के प्रमाणन शामिल हैं। फिर, सार्वजनिक प्राधिकरण जैसे प्राथमिक प्राधिकारी, विस्तार के साथ अनुरोध पर हस्ताक्षर करेंगे। विशिष्ट उपयोगकर्ता एजेंट पारंपरिक सार्वजनिक सीए हस्ताक्षर का उपयोग करेंगे, जबकि आपका कस्टम सॉफ़्टवेयर एम्बेडेड वैकल्पिक हस्ताक्षर का उपयोग करेगा।
एक्सटेंशन आमतौर पर नीति के लिए उपयोग किए जाते हैं (जैसे "विस्तारित सत्यापन" जानकारी संदेश देना), लेकिन यह यहां काम कर सकता है। हालांकि, आईईटीएफ के पीकेआई में नीति की कमी है, इसलिए आपको रचनात्मक होने की आवश्यकता हो सकती है।
सुपर उपयोगकर्ता पर Is it possible to have a certificate signed by 2 authorities? भी देखें।
PKIX मेलिंग सूची पर Certificate with Multiple Signers? भी देखें। पीईईक्स इंटरनेट के पीकेआई है जिसे आईईटीएफ द्वारा बुलाया जाता है।
लेकिन क्या वैकल्पिक प्रारूप हैं जो एकाधिक हस्ताक्षर का समर्थन करते हैं? – Jumbogram
@ जुम्बोग्राम: मुझे X509 प्रमाणपत्रों के लिए किसी भी वैकल्पिक प्रारूप से अवगत नहीं है जो एकाधिक हस्ताक्षरों का समर्थन करते हैं। पीकेसीएस # 7 मानक और वेरिएंट हैं जो एकाधिक हस्ताक्षरों की अनुमति देते हैं, लेकिन इन्हें टीएलएस द्वारा समर्थित नहीं किया जाता है। और ऐसे टीएलएस एक्सटेंशन परिभाषित किए गए हैं जो पीजीपी कुंजी का समर्थन करते हैं जिनमें एकाधिक हस्ताक्षर हो सकते हैं, लेकिन मुझे नहीं लगता कि उन एक्सटेंशन के लिए वहां बहुत अधिक समर्थन है। –
धन्यवाद। मैं यह पता लगाने की कोशिश कर रहा हूं कि एकाधिक सीएएस एक एसएसएल सत्र प्रमाणित करना संभव है या नहीं। मुझे एहसास हुआ कि मैंने उस सवाल से काफी कुछ नहीं पूछा है, इसलिए मैं फिर से बदल सकता हूं और एक नया कर सकता हूं, लेकिन आपके जवाब ने मेरी मदद की है। –