Создание подписанного подчиненного ЦС для клиентских сертификатов

У меня есть собственный самозанятый СА, который я создал для себя. С помощью этого CA (мы будем называть его country ), я создал сертификат сервера и ключ для своего веб-сервера nginx.

Теперь я хотел бы создать второе CA, state которое будет использоваться как мой ssl_client_certificate CA в nginx. Я хотел бы, чтобы state и country разделены по разным причинам и не использовали мою корневую country ЦС для непосредственного подписания клиентских сертификатов.

Как я могу создать состояние центра сертификации, подписанное country для аутентификации клиентских сертификатов в nginx?

Linux и Unix - лучшая ОС в мире.