Seguint amb el post del certificat autosignat, també es pot fer que un certificat siqui CA (Certificate Authority). Perque és interessant que un certificat sigui CA Root? Perque es pot posar aquest al magatzem de certificats CA del Firefox i a partir d'aquest moment els certificats signats amb aquest CA estaran reconeguts com a "bons" pel Firefox.
Cal seguir els mateixos passos que quan es fa un certificat SSL autosignat, però fins a un punt. Concretament cal seguir fins al punt 7, a partir d'aquest punt ja comencen els canvis.
Cal dir-li al certificat quins seran els seus usos, "Key Usage". Es marquen les opcions de "Firma d'altres certificats" i "Firma CRL" (Els CRL és la llista de certificats rebutxats (Certificate revoked list)).
Key UsageKey Usage checks
A més a més cal dir-li que és una CA
Basic constraintÉs una CA
Finalment s'exporta fent botó dret i escollir exportar del menú i es posa al Firefox, al grup de CAs
Exportar...
A partir d'aleshores amb el P12 podem signar CSRs que generem per fer temes de HTTPS, i al tenir la CA importada al navegador quedaran reconeguts. I ja muntem una empresa i cobrem per fer-ho... o no.