Итак, как там говорится, как я должен разрешить внутреннему CA подписывать CSR?
Это будет для сценариев, когда вы не можете легко заменить закрытый ключ для клиента, поэтому предпочтительный процесс вместо этого использует CSR.
Возможно ли это вообще?
На странице руководства есть несколько примеров подкоманды openssl ca. Стандартный метод подписания CSR одинаков, независимо от того, как вы его создаете или из чего вы его создаете. Например, подписывание с использованием расширений по умолчанию для конфигурации этого ЦС:
openssl ca -in csr.pem -out newcert.pem
Это требует, чтобы внутренний ЦС уже был настроен для подписания сертификата, а сертификат внутреннего ЦС был добавлен в доверенные корневые хранилища любых клиентов, которым может потребоваться его проверка. .