Шаг позволяет использовать существующий root-сертификат, используя step ca init --root=a.crt --key=a.key. В этом случае step генерирует промежуточный сертификат для последующего использования. Однако мой корневой сертификат уже использовался раньше для создания сертификатов вне шага.
Идея решить эту проблему без последовательных конфликтов в «A» -CA - это промежуточный CA «B», который затем можно постепенно использовать как root. Однако это вызывает проблемы при выполнении шага, поскольку шаг не имеет ничего общего с "A" -CA. Я ожидал, что шаг создаст еще один промежуточный продукт, подписанный «B», например:
A my old root, used for other manually managed certificates
\-B a new CA certificate, managed manually
\-C Step's intermediate CA
Есть ли способ добиться этого?
Запуск ЦС третьего уровня возможен, но не требуется по причине "последовательных конфликтов". Подпись СА с пошаговым управлением также может быть выполнена A и step не требует управления корнем, он просто создает его по умолчанию, который можно заменить вместе с промежуточным, как написано в страница вопросов:
[...] Первый,
step-caна самом деле не требуется ключ подписи корневого ЦС. Так что вы можете просто удалить этот файл [...]
Решение состоит в том, чтобы просто заменить корневой и промежуточный сертификаты (включая последний ключ) перед использованием step в качестве CA.