SSL证书可以由多个证书颁发机构签名吗？

一个SSL证书可以由多个证书颁发机构签名吗？
这要取决于使用的公钥基础设施（PKI）。有两种广泛使用的PKI，它们都不允许。第一个广泛使用的PKI是CA/Browser基线要求。CA/B BR文件记录了浏览器的操作。第二个是IETF的PKIX。它是像curl和wget这样的用户代理遵循的。它们都不允许。对于更深入的讨论，请参见如何使用您的认证机构签署证书签名请求？

---

现在，还有另外两个选项可以适用于您，但需要一些工作。
第一个备选方案是运行自己的PKI，该PKI允许使用。但浏览器和其他用户代理程序将不知道如何处理证书。
第二个备选方案是使用包括第二个机构认证的扩展。然后，主要机构（如公共CA）将使用扩展签署请求。典型的用户代理将使用通常的公共CA签名，而您的自定义软件将使用嵌入式备用签名。
扩展通常用于策略（例如传达“扩展验证”信息），但这里也可能适用。但是，IETF的PKI缺乏策略，因此您可能需要创造性地解决问题。

---

此外，请参见Super User上的是否可能由两个机构签名证书？。

请参见PKIX邮件列表上的具有多个签名者的证书？。 PKIX是由IETF指定的互联网公钥基础设施。

是的，这是可能的。您可以在此处找到一个示例：http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/。

是的，证书可以由多个CA签名。这个术语叫做“交叉签名”。请参阅https://letsencrypt.org/certificates/，了解它的工作原理的良好描述。请注意，在页面顶部的图表中，Let's Encrypt的多个中间证书由两个根证书（ISRG Root X1和DST Root CA X3）签名。此外，请参见https://security.stackexchange.com/questions/14043/what-is-the-use-of-cross-signing-certificates-in-x-509获取更多信息。

不，一个证书只能由一个CA签名。 但是你可以拥有两个所谓的交叉签名证书，它们共享相同的私钥、公钥和相同的通用名称和其他公共信息，但由两个不同的CA签名。在这种情况下，它们都是验证由它们之一颁发的较低级别证书的同等有效替代品。