История изменений

Исправление AEP, 25.02.22 06:03 (текущая версия) :

Сгенерировать оба сертификата заново. См. https://blog.pinterjann.is/ed25519-certificates.html - только там самоподписанный сертификат, а не цепочка из двух. И не факт, что это заработает на OpenWRT (который использует mbedtls), так как это никому не нужно, так как официальных удостоверяющих центров с ed25519 нет и не может быть, поскольку это запрещено cab forum’ом. Update: на сайте написано, что это не заработает: «Unfortunately, none of the major browsers seem to support ED25519 based certificates for TLS as of now». Т.е. единственный известный работоспособный клиент - это OpenSSL. Может, вы имели в виду ECDSA, а не ed25519?
Не понял вопрос. Подписывание вообще производится с использованием приватного ключа и сертификата. Если у вас появится еще одно серверное устройство (NAS какой-нибудь), то придется создать новый сертификат для NAS, подписанный уже имеющимся CA-ключом. На клиентские устройства, уже имеющие CA-сертификат, ничего ставить не нужно.

У нас, похоже, есть недопонимание, связанное с тем, как должна выглядеть цепочка сертификатов. Можно посмотреть вывод такой команды?

openssl s_client -connect 192.168.1.1:443 -showcerts </dev/null

Исходная версия AEP, 25.02.22 06:00:

Сгенерировать оба сертификата заново. См. https://blog.pinterjann.is/ed25519-certificates.html - только там самоподписанный сертификат, а не цепочка из двух. И не факт, что это заработает на OpenWRT (который использует mbedtls), так как это никому не нужно, так как официальных удостоверяющих центров с ed25519 нет и не может быть, поскольку это запрещено cab forum’ом.
Не понял вопрос. Подписывание вообще производится с использованием приватного ключа и сертификата. Если у вас появится еще одно серверное устройство (NAS какой-нибудь), то придется создать новый сертификат для NAS, подписанный уже имеющимся CA-ключом. На клиентские устройства, уже имеющие CA-сертификат, ничего ставить не нужно.

openssl s_client -connect 192.168.1.1:443 -showcerts </dev/null