Всем доброго вечера,
У меня есть 2 сервера, работающих в разных центрах обработки данных, которые оба подключены с помощью OpenVPN. Оба сервера имеют свой собственный ca-сервер, который может подписывать новые сертификаты с использованием промежуточных сертификатов, которые в настоящее время подписаны отдельным корневым сертификатом (каждый сервер имеет собственный корневой сертификат, который надежно хранится в автономном режиме).
В случае, если один CA становится недоступным (скомпрометированный, сервер отключен и т. Д.), Я хочу убедиться, что сертификаты CA1 принимаются при первоначальном создании с помощью CA2. (так классическая перекрестная подпись сертификатов).
Я могу сгенерировать ключ для промежуточного сертификата и подписать его обоими центрами сертификации, но я не понимаю, как я могу объединить оба сертификата, чтобы сертификаты, подписанные CA1, по-прежнему действительны, если доверяют только CA2.
Мои вопросы: - Как выписать промежуточный сертификат с перекрестной подписью. - Как это обстоит с X509? Я читал, что перекрестная подпись не включена в X509. Как вообще работает вся процедура?
Как связать сертификат клиента и промежуточный сертификат? (например, для NGINX).
Спасибо за ваши ответы :),
Genpc