<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 12, 2020 at 1:24 PM Karl Denninger <<a href="mailto:karl@denninger.net">karl@denninger.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

  <div>

    <div>On 2/12/2020 11:32, Michael Leone

      wrote:<br>

    </div>

    <blockquote type="cite">

      <div dir="ltr">So we are mostly a MS Windows shop. But I use a

        Linux openssl as my root CA. What I am planning on doing, is

        creating a Windows intermediate CA, and using that to sign all

        my internal requests. But before I do that, I have a couple of

        questions.

        <div><br>

        </div>

        <div>I have the steps to install the certificate services in AD,

          and create an intermediate CA request. What I'm wondering is,

          do I sign that cert differently than any normal cert? I don't

          see why I would. I mean, the request should specify that it

          wants to be a CA, and so I should just be able to </div>

        <div><br>

        </div>

        <div>openssl ca -in <file> -out <file></div>

        <div><br>

        </div>

        <div>and maybe the -extfile, to specify SANs.</div>

        <div><br>

        </div>

        <div>Am I correct in thinking that? I see many, many openssl

          examples, but they're all for creating an intermediate  CA

          using openssl, which I'm not doing. And the rest of the

          examples seem to be how to sign using the resulting

          intermediate CA cert itself, which again, is not what I will

          be doing .</div>

        <div><br>

        </div>

        <div>Any pointers appreciated. Thanks!</div>

        <div><br clear="all">

        </div>

      </div>

    </blockquote>

    <p>You have to sign the intermediate with the root in order to

      maintain the chain of custody and certification.<br></p></div></blockquote><div><br></div><div>Well, yes. Sorry if that wasn't clear. Yes, the only CA I have is the root, so that is what I will be signing with. So what  I am asking, is the signing command different for an intermediate CA than for a regular (I guess the term is "End Entity") certificate?</div><div><br></div><div>(I already have the CA cert pushed out into the certificate stores of all my domain members, so any new cert, issued by either the root or the intermediate, will chain fully. (once I push out the intermediate cert to all domain members).</div><div><br></div><div><br></div></div></div>