Boa noite a todos,
Tenho 2 servidores em execução em datacenters diferentes, ambos conectados usando o OpenVPN. Ambos os servidores têm seu próprio servidor ca que pode assinar novos certificados usando certificados intermediários, que atualmente são assinados por um certificado raiz individual (cada servidor tem um certificado raiz próprio que é armazenado com segurança offline).
Caso uma CA se torne indisponível (comprometida, servidor off-line, etc.), quero ter certeza de que os certificados da CA1 são aceitos quando criados originalmente com a CA2. (Assinatura cruzada de certificado clássico).
Eu posso gerar uma chave para um certificado intermediário e assiná-la por ambas as CAs, mas não entendo como posso reunir os dois certificados, portanto, os certificados assinados pela CA1 ainda serão válidos se a CA2 for confiável.
Minhas perguntas: - Como escrever um certificado intermediário com assinatura cruzada. - Como isso vai com o X509? Eu li que a assinatura cruzada não está incluída no X509. Como todo o procedimento funciona?
Como encadear o certificado do cliente e o certificado intermediário? (por exemplo, para NGINX).
Obrigado pelas suas respostas:),
Genpc