Não tenho certeza absoluta, mas como ninguém mais está respondendo, aqui está minha opinião.
A única entidade que pode assinar certificados é uma CA. Existem diferentes níveis de CAs, portanto, você poderia, em teoria, configurar sua própria CA subordinada ao CaCert (e, portanto, ter seu próprio certificado da CA assinado pela CaCert). Isso tornaria os certificados normais que você estaria assinando participando da cadeia de confiança de comprimento 3 (em vez de dois).
Pelo que eu peguei de esta página , é de alguma forma possível se tornar um "membro do CACert" e conseguir o que eles chamam certificado "subroot" - este permitiria que você assinasse seus próprios certificados e os tornasse confiáveis por qualquer pessoa que confiasse no certificado raiz do CACert ( fornecido você também disponibilizasse o certificado de sua AC subordinada de uma forma ou de outra - por exemplo, um servidor que usa certificados formatados em PEM pode usar um arquivo de certificado que é apenas uma concatenação do certificado do servidor e do certificado de CA no formato PEM).
Minha experiência pessoal com esse tipo de configuração foi: há algum tempo, a federação xmpp.net forneceu certificados pagos gratuitamente para qualquer servidor XMPP cujo administrador desejasse obter um. Essa federação era em si uma CA subordinada à StartCom. Então, depois de obter meu certificado de servidor, eu precisava dizer ao meu servidor para apresentar seu próprio certificado e o xmpp.net cert em um pacote para tornar a cadeia de confiança completa para seus clientes, pois eles geralmente confiam no StartCom, mas não no xmpp.net. p>