Итак, как там говорится, как я должен разрешить внутреннему центру сертификации подписывать CSR?
Это будет для сценариев, когда вы не можете легко заменить закрытый ключ для клиента, поэтому предпочтительный процесс вместо этого использует CSR.
Это вообще возможно?
Есть ряд Примеры подкоманд openssl ca на странице руководства. Стандартный метод подписания CSR одинаков, независимо от того, как вы его создаете или из чего вы его создаете. Например, подписание с использованием расширений по умолчанию для конфигурации этого CA:
openssl ca -in csr.pem -out newcert.pem
Для этого требуется, чтобы внутренний ЦС уже был настроен для подписания сертификата, а сертификат внутреннего ЦС был добавлен в доверенные корневые хранилища любых клиентов, которым может потребоваться его проверка.