Создание цепочки подписи СА, когда ее еще не было

Здесь проблема...

3 года назад мы создали установку с несколькими центрами обработки данных с минимальным количеством взаимозависимых ресурсов DC. Разные сайты AD. Разные кукловоды. Различные серверы системного журнала. Различные выходные брандмауэры. Разные преобразователи DNS. Различные исходящие почтовые реле. Работы. Это было хорошо, это сработало довольно хорошо.

Сейчас я пытаюсь установить Mcollective, чтобы мы могли распределять команды и получать отчеты из марионеток. В настоящее время правила устанавливают задания cron, которые запускают сценарии bash, запускаемые марионетками, которые выводят выходные данные в общие ресурсы NFS, это кажется основным кандидатом на что-то вроде mcollective.

Большая проблема заключается в том, что два puppetmasters используют центры сертификации, которые ни к чему не привязаны, а Mcollective использует CA-валидацию в качестве ключевой части своей схемы authn/authz.

Можно ли повторно подписать сертификаты CA третьим органом и таким образом создать единую цепочку сертификатов?

У нас уже есть марионеточные сертификаты на все, и, черт возьми, было бы здорово, если бы мы могли использовать эти сертификаты повторно. Таким образом, мы бы получили две островные коллективные среды, что означает, что наша автоматизация должна подключаться к конкретным конечным точкам постоянного тока, чтобы выполнять команды. Было бы здорово, если бы у нас было хоть одно замечание, особенно если учесть, что activemq может работать с такой архитектурой.

Скриптоматически восстанавливать все клиентские сертификаты с одинаковыми серийными номерами?
Openssl магия с участием -set_serial?

Я действительно предпочел бы избегать повторного ввода всех сотен узлов, которые есть у этих кукловодов, но если это единственный способ сделать это, то пусть будет так.