Ja.
Ab RFC 5280:
4.2.1.9. Grundlegende Einschränkungen
Die Erweiterung für grundlegende Einschränkungen gibt an, ob der Antragsteller des Zertifikats eine Zertifizierungsstelle ist, und die maximale Tiefe der gültigen Zertifizierungspfade, die dieses Zertifikat enthalten.
Dann heißt es weiter:
Wenn die Erweiterung für grundlegende Einschränkungen nicht in einem Zertifikat der Version 3 vorhanden ist oder die Erweiterung vorhanden ist, der Boolean cA jedoch nicht aktiviert ist, DÜRFEN der zertifizierte öffentliche Schlüssel NICHT zur Überprüfung der Zertifikatsignaturen verwendet werden.
Das Überprüfen der Zertifikatsignaturen bedeutet, dass Sie als Zertifizierungsstelle fungieren.
Wenn für Ihr selbstsigniertes Zertifikat die Basiszertifizierungsstellenzertifizierungsstelle nicht auf true festgelegt ist, kann es daher nicht zum Signieren untergeordneter Zertifikate verwendet werden.
Sind Sie sicher, dass für alle diese selbstsignierten Zertifikate dieses Flag auf true gesetzt ist? In diesem Fall müssen Sie unbedingt mit dem Erzeuger sprechen, der sie generiert, und in die Richtung der kostenlosen Online-PKI-Schulungsressourcen weisen.
Ein Zertifikat zu stehlen ist kein Risiko - schließlich sind Zertifikate allgemein bekannt. Das Stehlen des zugehörigen privaten Schlüssels ist jedoch und macht Ihr Zertifikat unbrauchbar. Dieses jahrelange Problem (innerhalb der PKI-Welt) der Sicherung des privaten Schlüssels hat zur Entwicklung von Hardware-Sicherheitsmodulen geführt, um zu verhindern, dass der private Schlüssel in die falschen Hände gerät. Ich bezweifle jedoch, dass Sie so viel Geld für das selbstsignierte Zertifikat Ihres Intranets aufbringen möchten.
Ein besserer Ansatz besteht darin, sicherzustellen, dass Sie die Personen verwalten, die sich auf den Geräten anmelden, die diese Zertifikate erstellen. Systeme, die OpenSSL, GnuTLS, Java usw. verwenden, können den privaten Schlüssel mit einem Kennwort schützen. Windows verschlüsselt den privaten Schlüssel, aber sobald sich ein Administrator an diesem Windows-Computer angemeldet hat, ist der private Schlüssel tatsächlich für die Übernahme verfügbar.