Ik wil graag wat laten verifieren door mensen die er meer vanaf weten.
Stel je hebt een rootCA.
Daaronder heb je (gesigned door de rootCA) een emailCA, een authCA, een hostCA en een objectCA.
Je laat alle hostcertificaten door de hostCA signen, alle auth certificaten door de authCA enz.
Om geen problemen met de serienummers te krijgen, heb je dan voor elke subca een revocationlist nodig, toch ?
PS Het is wel een jungle met OpenSSL, als je het goed wilt doen, tenminste.
Het zou goed zijn als de verschillende binaries alleen maar voor een doel gebruikt konden worden.
