同一服务器上的双TLS证书

Question

我是TLS的新手。我们有一个P2P网络的服务器网络，该网络使用HTTP进行通信和自签名的TLS ED25519证书来互相验证（公钥的哈希（Hash）用作服务器名称）。

现在，我们想在同一端口添加一个Web界面。问题是，常见的Web浏览器似乎不喜欢ED25519证书。因此，我们不能为内部和外部通信使用相同的ED25519证书。

是否可以在同一端口上使用两个证书，以便现有的ED25519证书对于内部通信仍然有效，但是另一个（非自签名和更随意的Cyptosystem）证书用于Web接口？

Answer 1

TLS客户端提供了支持哪种证书的信息 - 通过 signature_algorithms_cert 或 signature_algorithms 扩展名 - 请参见 tls 1.3标准有关详细信息。这意味着服务器具有以下信息，客户端支持哪种证书，并且可以选择适当的证书。

如果您的特定服务器实际上实现了此选择，因此可以支持多个证书是未知的。并非所有服务器都实现此功能。