Mi sto prendendo gioco dell'idea di gestire un mini-CA con il mio sito web (hobby), probabilmente usato solo internamente con alcuni sviluppatori selezionati per e-mail interne, autenticazione client, certificati server di staging / sviluppo ecc. riluttante ad estendere questo stile di autenticazione ai miei utenti più tecnicamente come uno schema di autenticazione opzionale (nonostante i vantaggi), semplicemente perché richiederebbe agli utenti completamente accettare il mio certificato di root e quindi potrei tecnicamente MitM le loro sessioni paypal o qualcosa del genere. Nei loro panni, sicuramente non mi fiderei di examplehobbysite.com come valida terza parte nella convalida dell'identità di paypal.com (o di qualsiasi altro server per quella materia), ma potrei essere felice di affidarmi all'autenticazione client di utenti su quel sito (S / MIME e simili, il loro CN è il nome utente del loro sito o qualcosa del genere).
In poche parole, c'è un modo per creare un certificato di origine che solo possa essere utilizzato per emettere certificati X.509 da utilizzare per S / MIME, Autenticazione client e simili, e < strong> non essere valido come certificati server (SSL)?