Может ли сертификат SSL быть подписан несколькими центрами сертификации?
Это зависит, но в основном НЕТ. Это зависит от используемой PKI. Используются два широко распространенных PKI, и ни один из них не позволяет этого.
Первая распространенная PKI соответствует Базовым требованиям CA / Browser . CA / B BR документирует, что делают браузеры. Второй - PKIX IETF. Это то, за чем следуют пользовательские агенты, такие как curl и wget. Ни один из них не позволяет этого.
У CA / B и IETF немного другие правила. Более подробное обсуждение см. Как подписать запрос на подпись сертификата в вашем центре сертификации?
Теперь есть два других варианта, которые могут работать для вас, но они потребуют некоторой работы.
Первый альтернативный вариант - запустить собственную PKI, которая разрешает это. Но браузеры и другие пользовательские агенты не будут знать, как обращаться с сертификатами.
Второй альтернативный вариант - использовать расширение, включающее сертификацию второго органа. Затем основной орган, такой как общедоступный центр сертификации, подписывает запрос с расширением. Обычные пользовательские агенты будут использовать обычную общедоступную подпись CA, в то время как ваше пользовательское программное обеспечение будет использовать встроенную альтернативную подпись.
Расширения обычно используются для политики (например, передача информации «расширенной проверки»), но она может работать здесь. Однако в PKI IETF отсутствует политика, поэтому вам может потребоваться проявить творческий подход.
Также см. Возможно ли иметь сертификат, подписанный двумя органами? для суперпользователя.
Также см. Сертификат с несколькими подписавшими? в списке рассылки PKIX. PKIX - это PKI Интернета, названный IETF.