使用由CA签名的证书作为其他证书的CA,签发新证书并仍然使它们被根CA验证,是否可行?
示例:
# create new key
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
....
# send csr to ca for signing
....
# now what if we make a new key and sign it with the received crt?
openssl genrsa -des3 -out newkey.key 2048
openssl req -new -key newkey.key -out newkey.csr
openssl x509 -req -in newkey.csr -CA server.crt -CAkey server.key -CAcreateserial -out newcert.crt -days 500
为什么不能这样做?我尝试将这个新证书用于某项服务,但浏览器提示缺少CA链。我的基本目的是使用一个已经签名给该域名的证书,以它作为CA为子域创建新证书。这个过程应该如何设计来实现呢?