Итак существует механизм подписывания сертификата потомка сертификатом (закрытым ключом родителя). Учет подписанных сертификатов ведется по серийным номерам (последовательно) в базе данных родителя.
По сути база данных это просто текстовый файл , традиционно с именем index, в котором последовательно делаются записи выданных серийников при каждой подписи сертификата потомка.
Учет серийных номеров настраивается в файле .config параметр database=...index.
В файле index последовательно заносятся выданные номера .
В чем главный нюанс? Надо понимать , что от одного родителя идет самостоятельная ни с кем не пересекающаясч цепочка потомков. Это по сути n-мерная модель, где каждая ветка самостоятельная.
Таким образом базы данных должны быть созданы отдельно для каждого корневого и далее для каждого промежуточного сертификата тоже отдельно.
Лучше сразу создавать древовидную структуру каталогов , где в названии каталогов будет присутствовать серийный номер. Также лучше серийники добавлять к именам все генерируемых файлов.
Чего не должно получится, но иногда происходит?.. У разных сертификатов оказывается один серийный номер. При этом все данные сертификатов одинаковые.
Закрытый и открытый ключи конечно разные.
Названия commonname имеет смысл делать разными для ЦС, как корневых так и промежуточных также делать разными.
Всем успехов и не путайтесь в своих сертификатах