как создать цепочку сертификатов SSL из моего собственного ЦС?

Я использую свой собственный CA для создания сертификатов SSL для служб в моей инфраструктуре. Эти сертификаты подписываются непосредственно моим центром сертификации.

Мне пришло в голову, что это, вероятно, слабая стратегия, как будто сертификат должен быть скомпрометирован, мне нужно создать новые из одного CA. Если CA будет скомпрометирован, игра окончена, так как каждую службу необходимо будет обновить.

Итак, я понимаю, что типичный способ «защитить» себя и «ослабить» беспокойство - это создать цепочку сертификатов и подписать службу сертификаты с концом цепочки, так что если подписывающая сторона будет скомпрометирована, следующий уровень выше может быть использован для создания нового сертификата подписи.

Правильно ли я понял?

В таком случае я бы хотел создать свою собственную цепочку сертификатов.

Все, что связано с TLS / SSL, для меня все еще немного туманно, но, как я вижу, сначала нужно создать главный ключ, с помощью openssl genrsa затем создайте самоподписанный сертификат, используя этот ключ с помощью openssl req -x509 -new , чтобы создать CA.

Затем я могу создать новые ключи и подписать сертификат запросы с openssl req -new -key 'и подписать запрос с моим CA с помощью openssl x509 -req -CA ca.pem ... `

Итак, чтобы создать цепочку сертификатов, что я должен делать?

Могу ли я просто создать новый ключ, новый запрос подписи и подписать его последним подписанным сертификатом вместо ЦС? И так до тех пор, пока у меня не будет достаточного уровня защиты, а затем подписать все пары сертификат / ключ сертификатом самого низкого уровня?

Это сбивает с толку, и я хотел бы понять это правильно; -)

Все, что я нахожу только о TLS, в высшей степени сложно, в то время как «простые» руководства неясны. Я просматриваю man-страницы openssl, но хотел бы получить простое объяснение процесса, тогда я обязательно сделаю каждый шаг правильно.

Спасибо за понимание.