Se você criar a CA intermediária com apenas o certificado de autenticação EKU do cliente (1.3.6.1.5.5.7.3.2), mesmo que um modelo seja alterado para permitir que ele endosse os certificados de autenticação do servidor, eles falharão em um passeio em cadeia. / p>
No Windows, isso informaria um erro com o certificado folha / EE com status CERT_TRUST_IS_NOT_VALID_FOR_USAGE
(ou, no .NET, X509ChainStatusFlags.NotValidForUsage
).