Estoy jugando con la idea de ejecutar una mini-CA con mi sitio web (hobby), probablemente solo se use internamente con algunos desarrolladores selectos para correos electrónicos internos, autenticación de clientes, certificados de servidor de desarrollo / puesta en escena, etc. Estoy reacio a extender este estilo de autenticación a mis usuarios con una mentalidad más técnica como esquema de autenticación opcional (a pesar de los beneficios), simplemente porque requeriría que los usuarios acepten completamente mi certificado de raíz y, por lo tanto, podría técnicamente MitM sus sesiones de paypal o algo así. En su lugar, ciertamente no confiaría en examplehobbysite.com como un tercero válido en la validación de la identidad de paypal.com (o cualquier otro servidor), pero podría estar contento confiando en la autenticación del cliente de usuarios en ese sitio (S / MIME y similares, su CN es el nombre de usuario de su sitio o algo así).
En pocas palabras, ¿existe alguna forma de que pueda crear un certificado raíz que solo pueda utilizarse para emitir certificados X.509 que se usarán para S / MIME, autenticación del cliente y similares, y < fuerte> no ¿será válido como certificado de servidor (SSL)?