como criar uma cadeia de certificados SSL da minha própria CA?

Eu uso minha própria CA para criar certificados SSL para serviços na minha infra. Esses certificados são assinados diretamente pela minha CA.

Vem a mim que essa é provavelmente uma estratégia fraca, como se o certificado fosse comprometido, preciso criar novos a partir de uma CA. Se a CA for comprometida, o jogo será feito, pois todos os serviços precisarão ser atualizados.

Então, meu entendimento é que a maneira típica de 'proteger' a si mesmo e 'diluir' a preocupação é criar uma cadeia de certificados e assinar os certificados de serviço com o fim da cadeia, de modo que se o assinante for comprometido, o próximo nível pode ser usado para criar um novo certificado de assinatura.

Eu entendi direito?

O que eu gostaria de fazer é criar minha própria cadeia de certificados.

Todo o material TLS / SSL ainda é um pouco nebuloso para mim, mas, como posso ver, primeiro crie uma chave mestra, com openssl genrsa , em seguida, crie um certificado autoassinado usando essa chave com openssl req -x509 -new para criar a CA.

Em seguida, posso criar novas chaves e solicitações de assinatura de certificado com openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem ... '

Então, para criar uma cadeia de certificados, o que é suposto fazer?

Eu simplesmente crio uma nova chave, uma nova solicitação de assinatura e a assino com o último certificado assinado em vez da CA? E assim por diante, até que eu tenha níveis suficientes de proteção, assine todos os pares de certificados / chaves com o certificado de nível mais baixo?

Esse material é confuso e eu gostaria de acertar; -)

Tudo o que eu encontro apenas sobre o TLS é extremamente complicado, enquanto os tutoriais 'simples' são obscuros. Eu estou olhando através das páginas de manual do openssl, mas eu gostaria de obter uma explicação simples do processo, então vou me certificar de cada passo certo.

Obrigado pela sua visão.