Могу ли я ограничить промежуточный ЦС только подписью сертификатов клиентов?

Я хочу использовать SCEP для выдачи клиентских сертификатов, возможно, используя ADCS . У нас уже есть внутренний автономный корневой центр сертификации (надежно в сейфе, используется только для подписи и отзыва промежуточных центров сертификации), и этому корню доверяют все внутренние клиенты и серверы.

Я хочу, чтобы подписывать сертификаты клиентов. чтобы создать промежуточное звено, которое может только это: подписывать сертификаты клиентов. В частности, я не хочу, чтобы можно было подписывать сертификаты сервера с помощью этого промежуточного звена (причина в том, что промежуточное звено по необходимости должно быть в онлайн-системе, При базовой аутентификации клиент передает заголовок аутентификации, как показано ниже, в прокси {+ add-header {Proxy -...

Моя клиентская машина взаимодействует с прокси-сервером squid в режиме базовой аутентификации. При базовой аутентификации клиент передает заголовок аутентификации, как показано ниже, на прокси

{+add-header{Proxy-Authorization: Basic dGNvZTE6dGNvZTE=}}

Поскольку базовая аутентификация является слабой, мне нужно перенести аутентификацию на Negotiate / Kerberos.

Кто-нибудь может мне подсказать, как клиент будет общаться с прокси? Какую всю информацию я должен передать? Заголовок Proxy-Authorization требуется или нет? если требуется, что я должен передать как параметр? Примечание: я не знаком с этими конфигурациями, большинство источников в Интернете не ведут меня в правильном направлении.

Недавно я прочитал ветку История безопасной аутентификации пользователей в squid В этом я прочитал комментарий @gravity, @gravity упомянул, что он уже реализовал это. Пожалуйста, предложите мне решение.