Windiows утомил...
Есть контора с большим количеством филиалов. Есть корневой x509 сертификат головной конторы, им подписаны сертификаты промежуточных центров сертификации в филиалах. На компьютерах пользователей в филиалах установлены сертификаты CA головной конторы и CA их филиала. В филиалах есть сервера и пользователи с сертификатами, подписанными филиальными промежуточными центрами сертификации. Внутри филиала всё хорошо.
Вопрос - как сделать, чтобы при попытке пользователя из филиала А с сервером из филиала B пользователю не нужно было устанавливать на свой комп промежуточный CA филиала B.
Филиалов много - выдавать на всё сертификаты из центра можно упариться. Особенно учитывая часовые пояса. Пользователей тоже много, большей частью ламеры. Объяснять последовательность установки сертификатов тоже не радостно.
Сервера все разные, от radius+EAP_TLS до Oracle Enterprise.
Сделать крайне желательно используя только openssl, без всяких Microsoft Certification Services (общей доменной структуры пока нет, и в ближайшем будущем не предвидится).
Всё, что удалось найти в интернете - Apache с самоподписанным сертификатом :( Ткните, плиз, в статью по теме.
